MV
или бандл какойнить заюзаешь, а в нем SQLi, привет-пока
Size: a a a
2020 December 04
I
Нет проблем если для вашей секьюрности это подходит. Проблема точно такая же как хранение пароля в открытом виде. Своровав БД можно авторизоваться под кем угодно.
Абсолютно не так, если увели базу просто скидываешь токены и все, пользователям надо будет только заново авторизоваться и все
MV
Ivan
Абсолютно не так, если увели базу просто скидываешь токены и все, пользователям надо будет только заново авторизоваться и все
тебе скажут что увели БД?)))
AN
Ну точно также как и с паролями, ты не знаешь что базу увели, пока не схватишь последствия.
JB
Шифровать user_id и записывать в токен понадёжнее будет
И база не нужна
И база не нужна
AN
Ну вы не рассматриваете варианты, что сами разработчики могут слить эту базу кому то?
I
Шифровать user_id и записывать в токен понадёжнее будет
И база не нужна
И база не нужна
А как инвалидировать будешь? Например забыл выйти на рабочем компе
DA
Ivan
А как инвалидировать будешь? Например забыл выйти на рабочем компе
Так храни инвалидированные токены в бд
SZ
DA
А не действительные
JB
Можно добавить ещё хеш пароль+роли+ещё-что-то важное из пользовательских данных
Изменился хеш - давайдосвидания
Изменился хеш - давайдосвидания
DA
Плюс время жизни токена
Чтобы все инвалидированные за все время не хранить
Чтобы все инвалидированные за все время не хранить
I
Так храни инвалидированные токены в бд
Хех, проблему про которую я писал это не решает)
JB
Какую?
DA
Ivan
Хех, проблему про которую я писал это не решает)
Что значит забыл выйти на рабочем компе?
I
Что значит забыл выйти на рабочем компе?
Ну ты авторизоваться на трех устройствах, одно из них например на работе, и тебе надо на нем разлогинится
DA
Ivan
Ну ты авторизоваться на трех устройствах, одно из них например на работе, и тебе надо на нем разлогинится
На всех устройства разный токен выдан
Хочешь разлочиться - вызывается логаут на компе и токен для компа попадает в блэк лист токенов
Все
Хочешь разлочиться - вызывается логаут на компе и токен для компа попадает в блэк лист токенов
Все
DA
А блэк лист это какой нибудь редис стораж, куда токены попадают со своим ttl ом оставшимся и после удаляются оттуда
I
На всех устройства разный токен выдан
Хочешь разлочиться - вызывается логаут на компе и токен для компа попадает в блэк лист токенов
Все
Хочешь разлочиться - вызывается логаут на компе и токен для компа попадает в блэк лист токенов
Все
Нет, ты не понял задачу. Уехал в отпуск и забыл выйти с сайта на рабочем компе.
DA
Типа как в вк завершить сессию на устройстве к которому доступ не имеешь?