RP
Size: a a a
2021 April 18
НС
Это не реализация JWT, а использование. Тут ты вообще не видишь, что внутри.
RP
В общем-то все, что мне нужно для валидации. Правда там сейчас access-token в куки. Передет в озу и будет передаваться в заголовке. Чтобы xss исключить.
НС
Насколько я вижу, в пачке спек JWT есть хождение по урлам до валидации. В JWK.
RP
А когда иы заговорили о том, что я его руками реализую? Мне это не нужно...
RP
Я делаю сервисы с авторизацией jwt. А не jwt :)
НС
Эм. Мы и не говорили о том, как ты его реализуешь.
Мы говорили о либах jwt и о том, ходят ли они по урлам до валидации.
Мы говорили о либах jwt и о том, ходят ли они по урлам до валидации.
RP
Да не нужно там никуда ходить. Нет не ходят. 100%
НС
По спеке ходят, кажется. По факту — когда я последний раз смотрел на либы, это не было реализовано.
Вот мне интересно, реализовал ли кто-то. Я давно смотрел.
Вот мне интересно, реализовал ли кто-то. Я давно смотрел.
НС
Это тебе по логике не нужно.
Но JWT это не просто простые подписанные объекты, которые можно было на коленке реализовать.
Это страшная заоверенжинеренная хрень, из-за чего в реализациях была найдена пачка уязвимостей.
И вопрос, что там внутри у тех либ, что ты (и все) используют.
Но JWT это не просто простые подписанные объекты, которые можно было на коленке реализовать.
Это страшная заоверенжинеренная хрень, из-за чего в реализациях была найдена пачка уязвимостей.
И вопрос, что там внутри у тех либ, что ты (и все) используют.
S🛸
Зависит от того какие токены
Y
рефреш и access
НС
ох. а алгоритм кто проверять будет?
S🛸
Рефрешь в БД и куках
Аксес в локалсторадж или куках
Аксес в локалсторадж или куках
꧁岡
Воротят абстракции над абстракциями, и сами не понимают что творят хотя могли использовать сессии и спать спокойно
S🛸