RT
он тебе вообще нужен? Ну протухнет токен, авторизуется снова.
Size: a a a
2020 October 09
DS
он тебе вообще нужен? Ну протухнет токен, авторизуется снова.
аксес-токен тухнет быстро, иначе смысла в нем нет, так что задолбаешься перелогиниваться.
DS
хм.. ещё по yiisoft/auth-jwt вопрос...
есть метод authenticate, который валидирует токен, и возвращает идентити юзера.
а как мне отвалидировать refresh-token.. по сути, если он такой же точно - всё должно валидироваться точно так же. за исключением того что токен должен быть именно refresh .
то-есть, как мне определить что это именно рефреш-токен? что-бы выдать новый access и refresh ?
есть метод authenticate, который валидирует токен, и возвращает идентити юзера.
а как мне отвалидировать refresh-token.. по сути, если он такой же точно - всё должно валидироваться точно так же. за исключением того что токен должен быть именно refresh .
то-есть, как мне определить что это именно рефреш-токен? что-бы выдать новый access и refresh ?
в токене поле type ставишь
RT
аксес-токен тухнет быстро, иначе смысла в нем нет, так что задолбаешься перелогиниваться.
Так там же сколько установил столько и будет
DS
Так там же сколько установил столько и будет
тогда смысл какой в жвт?
Д
мне кажется рефреш токен нужен чтобы обновить токен, ну то есть это вроде отдельная ручка должна быть, не?
отдельная, да. просто валидация такая же почти. ну я сделал уже вроде.
RT
тогда смысл какой в жвт?
В том что ты можешь проверить его валидность и извлечь пейлоад
RT
сутки для токена норм помоему
RT
В том что ты можешь проверить его валидность и извлечь пейлоад
и при этом в базу не ходить
Д
вот кто-как опять же пишет. и общего мнения нет. у кого-то вообще 15 минут.
Д
сессии благополучно "признали устаревшими". а что с этими жвт делать - никто не знает =))
RT
да просто токен который зашифрован приватным ключом на стороне сервера и содержит в себе данные
RT
сделай свое шифрование своих токенов - будет примерно одинаково
DS
да просто токен который зашифрован приватным ключом на стороне сервера и содержит в себе данные
Он не зашифрован, а подписан. Если ты будешь использовать один токен с долгим временем хранения, то его надо в куку с хттпонли, а это та же сессия будет практически.
RT
Да подписан. Ты прав. Куда его засунуть - это уже клиенту виднее
DG
сессии благополучно "признали устаревшими". а что с этими жвт делать - никто не знает =))
Почему никто не знает? Все давно успешно пользуются 😊
Д
Почему никто не знает? Все давно успешно пользуются 😊
да везде просто разная информация. нет "best practices". чтоб 1-2-3 profit
DG
У жвт есть заголовок, полезные данные (пейлоад), и собственно подпись. В пейлоад в открытом виде хранится все что угодно. Id юзера, и любые другие данные которые нужны, чтобы каждый раз не ходить за ними в базу. Подпись нужна только для того, чтобы убедиться что пейлоад который в жвт пришёл от клиента не менялся
Д
У жвт есть заголовок, полезные данные (пейлоад), и собственно подпись. В пейлоад в открытом виде хранится все что угодно. Id юзера, и любые другие данные которые нужны, чтобы каждый раз не ходить за ними в базу. Подпись нужна только для того, чтобы убедиться что пейлоад который в жвт пришёл от клиента не менялся
да эт понятно всё. затык был в refresh-token. разобрался вроде..
DG
да везде просто разная информация. нет "best practices". чтоб 1-2-3 profit
У нас в проекте есть 2 токена. JWT и refresh токен. JWT ограничен по времени (например 30) минут. Как только он истёк, прилетает 401 и нужно с рефреш токеном сделать запрос и получить новый JWT