RP
А... я понял о чем. Ты. Наконец... туплю.
Size: a a a
2021 April 18
Е
А что случится, если jwtToken > Date.now() будет false? И если ошибка, запрос так дальше и идёт и нормально обработается или там где то ещё есть миделвара, которая отдаст 401?
НС
Да, jsonwebtoken давно починили, я там опечатался со вторым параметром verify просто.
NP
в токен лучше не класть expires)
NP
у тебя на клиенте токен все равно никак не расшифровать без секрета, смысл туда это класть
НС
у него там проверка exp, не у меня
RP
Это заглушка сейчас. Сделано для дев.
НС
это не мой код
NP
оке, сорри)
RP
Ща гляну как
Е
Всмысле не расшифровать?
RP
Можно. Он base64 просто
NP
Если есть секрет, то токен не расшифровать без него
Е
Полезная нагрузка не зашифрованна.
V
Классический jwt не шифрует payload никак кроме base64
V
Прочитать его может любой, а изменить только тот, у кого есть ключ
НС
@RPiontik в общем — утебя верификация принимает любой алгоритм, который поддерживает либа, кажется. Кроме none (это заткнули).
И решает это клиент.
Чтобы не рисковать лишне, укажи алгоритмы при валидации.
И решает это клиент.
Чтобы не рисковать лишне, укажи алгоритмы при валидации.
NP
ну payload да
NP
просто обычно expires_in кладут в отдельное поле на клиенте, если у тебя токены истекающие
NP
у jwt на ноде дефолтный алгоритм HS256 вроде