JWT и извращенцы

0

4

Читая статейки на тему использования JWT в веб приложениях невольно возникает вопрос о том кто же больший извращенец - авторы RFC или те кто его использует?
Чуть ли каждый в срачах о том как же нужно инвалидировать токен, как его отозвать имеет свое мнение на эту тему. При этом встречаются костыли навроде создания блеклиста в редисах(смысл в селфконтейнед токене?) и как самый кошерный вариант - использование рефреш токена(еще один, рили?).
А посмотрев на популярные библиотеки для работы с JWT на нескольких платформах, я пришел к выводу что ни одна из них не реализует данный функционал.
Ну, а че - аутентификацию прошел? Прошел! Токен получил? Получил. sign out для слабаков. Бан юзера, смена пароля, роли? Зачем? Ненужно.
И вот сижу я в 7 утра, с лицом братишки которому принесли покушать и уже готов писать очередной лисапед.
Может я что-то не так понял и просто плохо искал? Так вот, посоветуйте какой проектов или поделитесь своими наработками.

Ссылка

←	Объявсните, зачем нужны React, Angular и Vue.js?

PHP - execute

→

← 1 2 →

Ответ на: комментарий от Deleted 19.07.17 13:00:43 MSK

Я не знаю, что такое «точка входа HTTP-запроса», может потому и делаю что-то неправильно. Если расскажете еще и про точку выхода - буду благодарен.

nikolnik ★★★
(19.07.17 13:19:04 MSK)

Ответ на: комментарий от nikolnik 19.07.17 13:19:04 MSK

https://ru.wikipedia.org/wiki/Единая_точка_входа_(шаблон_проектирования) - кстати многие до этого доходят сами без чтения всяких статеек

и в общем знания таких банальностей странно решать нужен JWT или нет

Deleted
(19.07.17 14:06:04 MSK)

Впервые слышу про JWT, но стало любопытно, википедия пишет «JSON Web Token will be returned and must be saved locally (typically in local or session storage, but cookies can also be used)». Значит, local или session storage, для SPA, делающих кучу запросов к серверу, прежде чем страничку показать, это может и норма. Но зачем, если кука посылается на сервер с самым первым GET и уже всем понятно - пустить или нет, я бы хранил JWT в куках, лол, если бы юзкейс придумал. В любом случае: да что за проблема? Где бы JWT не хранился - вытереть да и все. Если вдруг система сама должна разлогинить конкретного Василия - пусть secret = secret + counter, где counter хранится в базе и инкрементируется когда нужно.

Лисапеты тем и хороши, что готовые вроде devise вечно делают что-то не так, чего-то не делают, что-то надо приделать и как быть тогда.

Romaboy ★
(20.07.17 02:19:44 MSK)

Ссылка

Ответ на: комментарий от Deleted 19.07.17 14:06:04 MSK

Мне кажется кто-то тут пытается сумничать и у него слабо получается. Каким образом это решает проблему того, что для каждого запроса надо гонять юзера туда-сюда из бд?

nikolnik ★★★
(20.07.17 13:55:47 MSK)

Ответ на: комментарий от nikolnik 20.07.17 13:55:47 MSK

Мне кажется

когда кажется надо креститься, и продолжать дальше писать свой ownокод 8)

Каким образом это решает проблему того, что для каждого запроса надо гонять юзера туда-сюда из бд?

если ты не видишь разницы между «один раз» на HTTP запрос и «пока страница загрузится, юзер проверится раз 15» - то тебе рановато в программирование 8)

да, если у тебя сраница загружается в 15 запросов и ты полагаешь что это норма - то тоже рановато

Deleted
(20.07.17 14:02:11 MSK)