R
И если говорить о стателес то это отсутствие состояние а сессия это все таки состояние
Size: a a a
2021 January 30
NP
Тема эта уже заезжена. Уже ваш crfc токен не нужен потому что есть same-site cookie
Ага, вот только ты JWT-токен в куку не положишь, ибо HTTP-клиент браузера не сможет оттуда подтянуть токен, он сможет только отправить куку на бэк. А JWT проверяется в заголовке Authorization. А этот заголовок выставляется программно в коде на фронте
R
В отличие от токена
V💊
Интересно как вообще злоумышленник внедрит свой JS к вам?)
устанавливаешь приложение в хром и вуаля, злоумышленник имеет доступ к кукам ;)
NP
90% сайтов сидят на куках и локалсторадже и не парятся
90% сайтов новичков.
NP
Посмотри авторизацию крупных E-Commerce площадок и посмотри, что кладется в куку.
A
90% сайтов новичков.
Посмотрите как работает авторизация любой социальной сети.
NP
Посмотрите как работает авторизация любой социальной сети.
Ок, давай посмотрим)
V💊
Ага, вот только ты JWT-токен в куку не положишь, ибо HTTP-клиент браузера не сможет оттуда подтянуть токен, он сможет только отправить куку на бэк. А JWT проверяется в заголовке Authorization. А этот заголовок выставляется программно в коде на фронте
не обязательно хедере отсылать, можно и в куке
NP
не обязательно хедере отсылать, можно и в куке
Вот только это уже не JWT-way
V💊
Вот только это уже не JWT-way
jwt дока не говорит КАК именно должен отправляться токен
NP
Посмотрите как работает авторизация любой социальной сети.
Что-то я не вижу ни одного заголовка Authorization в запросах от ВК. Зато вижу SESSION_ID в куке :)
V💊
Что-то я не вижу ни одного заголовка Authorization в запросах от ВК. Зато вижу SESSION_ID в куке :)
у ВК кстати JWT, ибо у них SSO
NP
у ВК кстати JWT, ибо у них SSO
SSO !== JWT
A
Причем тут JWT и cookie авторизация ВК?
A
у нас речь о cookie и session
NP
Причем тут JWT и cookie авторизация ВК?
Ты попросил тебе показать, как работает авторизация в ВК. Я тебе показал :)
R
Ага, вот только ты JWT-токен в куку не положишь, ибо HTTP-клиент браузера не сможет оттуда подтянуть токен, он сможет только отправить куку на бэк. А JWT проверяется в заголовке Authorization. А этот заголовок выставляется программно в коде на фронте
Почему я не смогу положить токен в куку не очень понял?
A
Ты попросил тебе показать, как работает авторизация в ВК. Я тебе показал :)
Я знаю как она работает
A
Почему я не смогу положить токен в куку не очень понял?
вот вот) тоже смешно)