DS
Я не то чтобы адепт. Просто мы его повсеместно используем, и пока что ни разу не было ситуации, где он чем-то бы не устроил нас. Все круто 😊
Многие, даже большинство так используют. Но задуман он был по-другому
Size: a a a
2020 October 09
T
ага..всё... пиво пить пора.. то что я на yii2 склепал бы из говна и палок за час, пытаясь по-правильному писать на yii3 заняло пол-дня.
I hope you enjoy the beer, in a while I watch the soccer game and I'll have some too.
T
scrutinizer fail for everything, it became obsolete.
T
github action killed all ci, including travis, circle, scrutinizer, etc.
DS
вот видишь, все-равно нет прям "делать так". у кого-то refresh хранится в http-only в виде токена, у вас вот это просто рандом строка.
рефреш в виде жвт нужен лишь для того, чтобы ты мог понять кому его выдал, как минимум это надо залогировать. Как максимум сохранить и применять фильтр, как писалось выше
Д
рефреш в виде жвт нужен лишь для того, чтобы ты мог понять кому его выдал, как минимум это надо залогировать. Как максимум сохранить и применять фильтр, как писалось выше
да понятно это. я ж про то что все по-разному используют.
Д
я решил jwt в httponly хранить пока. и выдавать новый по запросу, вытаскивая refresh из куки
T
я решил jwt в httponly хранить пока. и выдавать новый по запросу, вытаскивая refresh из куки
Can you upload a complete example?
Д
TradersVE
Can you upload a complete example?
ok. will create demo repository.
T
ok. will create demo repository.
thks
2020 October 10
DG
я решил jwt в httponly хранить пока. и выдавать новый по запросу, вытаскивая refresh из куки
Это все хорошо и круто, до тех пор пока ты работаешь с браузером. А когда ты даёшь свой API другим компаниям для подключения к тебе, и они делают запросы через cURL, им эта HttpOnly добавит лишнего гемора парсить заголовки и выдергивать оттуда кукисы 🤷🏻♂️
NO
JWT в базе не хранят.
Где хранят? Я ещë не реализовывал, интересно, расскажи)
Д
Это все хорошо и круто, до тех пор пока ты работаешь с браузером. А когда ты даёшь свой API другим компаниям для подключения к тебе, и они делают запросы через cURL, им эта HttpOnly добавит лишнего гемора парсить заголовки и выдергивать оттуда кукисы 🤷🏻♂️
Вытащат из хедера )
Д
Где хранят? Я ещë не реализовывал, интересно, расскажи)
На клиенте хранят. На стороне сервера хранение токена совсем не нужно
NO
Как тогда авторизовывать?
Д
По jwt токену :)
A
Его же расшифровывают или проверяют на валидность
Если с этим всё ок, то можно пропускать дальше запрос
Если с этим всё ок, то можно пропускать дальше запрос
NO
По jwt токену :)
Ну вот прислал клиент этот jwt token. Я на сервере его получил. Токен у себя не храню. Как проверить, что токен подлинный?
Д
Ну вот прислал клиент этот jwt token. Я на сервере его получил. Токен у себя не храню. Как проверить, что токен подлинный?
Он подписан твоим ключом секретным. А содержимое - ты там можешь ид юзера хранить. Если токен прошел валидацию - он не подлелан
NO
То есть я могу на клиенте чужой id юзера указать и подписать?