Aktywne Wpisy
andrej158 +35
Dlaczego ten obrazek tak wkurza "uśmiechniętych polaków"? Serio pytam
#ukraina #rosja #wojna #ruskieonuce #bekazlewactwa #4konserwy #bekazkoalicjiobywatelskiej #polityka
#ukraina #rosja #wojna #ruskieonuce #bekazlewactwa #4konserwy #bekazkoalicjiobywatelskiej #polityka
źródło: Zdjęcie z biblioteki
Pobierz
Mamy JWT, przeczytałem pół internetu i zawsze coś jest źle wg założeń i tego jak co przechowywać. Wiec przychodze jak zawsze do społeczności #programista15k
Mamy JWT, serwer je wysyła do użytkownika. Jak najlepiej ?
Cookie httponly strict secure
Header authorization Bearer
Jeśli header to gdzie przechowywać po stronie użytkownika aby używać i aby użytkownik nie był wylogowywany przy refreshach itp?
Jeśli cookie to jak odesłać do serwera w headerze ? Nie da się bo HTTP only?
Refresh token, przechowujemy gdzie ? Redis/Baza danych? Czy cookie ? Storage?
Jak upewniamy się ze nie został ukradziony ? Przypisujemy do user agenta i IP użytkownika ? A co przy zmianie IP spowodowanej resetem modemu utrata prądu itp itd czy z samoczynna zmiana która następuje po x dniach lub godzinach. Czy może po dekodowaniu jwt jeśli czas się skończył a id użytkownika z zdekodowanego jwt zgadza się z id refresh to przydzielamy nowy acces token nie zastanawiając się czy oba nie zostały po prostu wykradzione ? I wtedy w storage przechowujemy access token a refresh w HTTP only ?
I co z tym authorization headerem tak ogólnie. Widzę zadania nieraz rekrutacyjne gdzie pisze żeby tak wysyłać na frontend, i spoko. Może nie mój problem już ale ciekaw jestem jak potem jest on przechowywany na froncie ? I jak odsyłany do serwera tzn z jakiego miejsca.
Jak mamy formularz który wykonuje post na dany endpoint to jak dodajemy authorization Bearer do formularza ? Czy do każdego formularza należy pisać js i nie korzystać z „automatycznego” wysyłania ?
#programowanie #nodejs #expressjs
Ani tak ani tak. A header authorization to się używa do autoryzacji a nie do zwracania danych z serwera.
User wysyła na serwer login i hasło a w odpowiedzi w body dostaje access token. Żeby było prawilnie to powinien
Ale weź nie trolluj, bo chłop serio kiedyś wrzuci token w local storage xD Wrażliwe dane zawsze jako cookie z flagą HttpOnly i określonym Expires
Refresh token w localStorage ? Heh ok
Acces token to przepada jak
@PseudoProgramista: no to podeślij. Ciekawy jestem co podeślesz skoro JWT to jest tylko standard tworzenia tokena i podpisywania go, a tego tematu w ogóle nie poruszyliśmy xD
JWT w ogóle nie definiuje takiego pojęcia jak access token czy refresh token, więc
OP pytal o skradziony token: wg mnie chcial zapytac o blackliste i sposoby na wylogowanie usera "przez serwer".
Przyklad: user stracil dostep do platnej uslugi bo nie zaplacil abonamentu. Gdyby ciągle generowal refresh token i nie byloby mechanizmu blacklisty, to nigdy nie stracilby
@PseudoProgramista: No i już widzę, że nic nie wiesz i
Czepiam sie bo napisales jakby trzymanie jwt w local storage bylo oczywistym bledem i amatorszczyzna a tak nie
Komentarz usunięty przez autora
@PseudoProgramista: Tak to niestety wygląda -
@Makurise 1. no nie ma autousuwania localstorage ale co z tego jesli token jest bezuzyteczny bo wygasl?
2. Pisales ze access token przepada po zamknieciu apki, czyli to co pisalem wyzej: ponowne logowanie. I to jest wlasnie ta roznica kiedy uzywasz localstorage. Nie zrozumiales co napisalem a nie "cos mi sie miesza" i ze
1. Refresh token wygasa całkowicie dopiero po jakimś określonym czasie, do tego momentu można go bez problemu pobrać skryptem z local storage i przejąć kontrolę nad kontem. A trzymając go jako ciasteczko z flagą HttpOnly nie da się go pobrać poprzez JS.
2. Nie wymaga ponownego logowania, bo od tego jest refresh token, by uzyskać nowy access token. Ty serio nie wiesz o czym gadasz i mieszasz różne pojęcia/mechanizmy.
@LazyInitializationException: Jeśli resource server pełni też rolę authorization servera to co daje ci zwracanie refresh tokena?
Zgadza się, przy założeniu idealnego scenariusza,
@some_ONE: Nie trzeba trzymać hasła użytkownika.
No to blacklista