NP
нахуя мне как бэку поддерживать сессии которые не нужны в данном случае?
У тебя есть фронт и внешняя апи? Поздравляю, тебе нужно иметь поддержку сессий для фронта и JWT для внешнего апи.
Size: a a a
2021 January 30
V💊
У тебя есть фронт и внешняя апи? Поздравляю, тебе нужно иметь поддержку сессий для фронта и JWT для внешнего апи.
не нужно, я могу юзать JWT
NP
не нужно, я могу юзать JWT
Ну значт ты не понимаешь, зачем нужен JWT :)
A
Я вот ток не понял почему вы написали про ВК, что авторизация там на сессиях. Она на куках, на сервере просто еще и IP привязывается в БД
NP
Я вот ток не понял почему вы написали про ВК, что авторизация там на сессиях. Она на куках, на сервере просто еще и IP привязывается в БД
С чего ты решил, что идентификатор сессии не может храниться в куках? :)
NP
Я тебе час про это толдычу
V💊
Ну значт ты не понимаешь, зачем нужен JWT :)
у меня сейчас 4 клиента которые стучатся в апи, им нужен жвт, фронт будет, ему тоже как-т нужно авторизовааться, и мобильное приложение будет, + ко всему этому SSO, и нахуя мне сессии поддерживать ради одного фронта?
VY
Ребята, а для хедлесс приложения - что возможно применить для аутентификации?
A
Ну перехватив идентификатор сессии мы получаем доступ к аккаунту
A
Чем лучше токенов?
NP
Ну перехватив идентификатор сессии мы получаем доступ к аккаунту
Нет, не получаем. Для этого есть CSRF :)
R
Я вот ток не понял почему вы написали про ВК, что авторизация там на сессиях. Она на куках, на сервере просто еще и IP привязывается в БД
))) авторизация не может быть либо на сессиях либо на куках это 2 неразлучные вещи
NP
У тебя сервер не пропустит запросы без CSRF-токена, который ООООЧЕНЬ сложно подделать)
A
Да? У ВК такого нет, только что через второй комп подставил remixsid и получил доступ из внутренней сети к акку, профит
V💊
У тебя сервер не пропустит запросы без CSRF-токена, который ООООЧЕНЬ сложно подделать)
его примерно так же сложно реализовать на фронте ;)
NP
его примерно так же сложно реализовать на фронте ;)
Что?)
AD
У тебя сервер не пропустит запросы без CSRF-токена, который ООООЧЕНЬ сложно подделать)
Кинь url сайта или приложения, где ты реализовал вид авторизации, за который топишь, пожалуйста.
A
CSRF - это как бы от фреймов защита. не?
V💊
ну давай, покажи мне генератор нового csrf токена для КАЖДОГО запроса
NP
Ты же в курсе, что XSRF-TOKEN высылается сервером через Set-Cookie