NP
тут кстати разрешите доебаться, в куках лучше не писать X-ACCESS-TOKEN)
Size: a a a
2021 April 18
RP
Я тебя понял. Спасибо за подсказку! Ты прав
NP
У тебя для валидации токена есть заголовок Authorization: Bearer <token>
НС
И до какой то-версии она, кажется, даже none по дефолту принимала.
Теперь принимает его только если секрет при валидации пустой (не указан или пустая строка).
Теперь принимает его только если секрет при валидации пустой (не указан или пустая строка).
NP
ля, чот я отвык читать commonjs код
НС
@RPiontik а вот про хождение по урлам.
Я помню, ты говорил что в "JWT" его нет, а JWS это другое.
Но есть ли оно в твоей либе?
Обрати внимание, что https://npmjs.org/jsonwebtoken зависит от https://npmjs.org/jwa и https://npmjs.org/jws
Что логично, потому что спека в Normative References.
Я помню, ты говорил что в "JWT" его нет, а JWS это другое.
Но есть ли оно в твоей либе?
Обрати внимание, что https://npmjs.org/jsonwebtoken зависит от https://npmjs.org/jwa и https://npmjs.org/jws
Что логично, потому что спека в Normative References.
RP
Это код - заглушка. Он будет переделываться. Сейчас ВООБЩЕ нет refresh token. Будет так:
refresh-token в cookie httponly с областью распространения на сервис выпуска токенов.
access-token в ОЗУ. Передаваться в заголовке.
refresh-token в cookie httponly с областью распространения на сервис выпуска токенов.
access-token в ОЗУ. Передаваться в заголовке.
H
Страшно
НС
А если нет — что будет, если они появятся там с апдейтом?
RP
Я видимо туплю сильно. Я не понимаю про какие ты урлы речь ведешь. Тут требование tsl. Это шифрование канала.
НС
Шифрование канала для чего?
Что делают x5u/jku?
Что делают x5u/jku?
RP
Поэтому версии прибиты. А вообще, делается локальный репозиторий с форком. Чтобы инъекциии не прриехали. Сейчас это дев, где авторизация на 8ом плане. Сейчас нужно запилить MVP:) Главное, что авторизация останется прежней - JWT. И для всего стека ничего не изменится когда приедет прод реализация авторизации.
RP
tsl это https
s
Как то можно вставить ссылку в коде?
s
В файле .md
НС
@RPiontik шифрование канала для хождения по урлам из заголовка.
В смысле тут явно прописаны HTTP GET request для доставания ключей и/или сертификатов.
В смысле тут явно прописаны HTTP GET request для доставания ключей и/или сертификатов.
НС
Но когда я смотрел — на этот кусок спеки все забили.
Как сейчас, не знаю.
Как сейчас, не знаю.