032-Phân quyền cho từng Request với JWT middleware

Рет қаралды 336

Nguyen Duc Hoang

Күн бұрын

Пікірлер: 14

@Seiba15 2 ай бұрын

Nay thầy đăng tận 35 video luôn, khóa mới hả thầy? 😯

@NguyenDucHoang 2 ай бұрын

Yes, đăng full luôn, mn xem ủng hộ đuê

@mindev1701 Ай бұрын

Anh triển khai thêm phân quyền chi tiết kiểu crud riêng lẻ từng routes được không ạ, thêm cái quản lý devices revoke token các kiểu nữa. Em cảm ơn

@NguyenDucHoang Ай бұрын

Có phân quyền dùng middleware cho từng method đó em

@NguyenDucHoang Ай бұрын

À nói kỹ mấy case revoke token anh nghe nào 😊

@mindev1701 Ай бұрын

@@NguyenDucHoang Đây ạ. TH1. Người dùng chủ động logout thì chúng ta vô hiệu hoá token đó luôn, chứ không đơn giản là xoá access or refresh. TH2. Quản lý từng phiên, thiết bị đăng nhập giống fb, zalo admin + user có quyền chủ động logout từ xa.

@mindev1701 Ай бұрын

@@NguyenDucHoang Em thấy có nhiều hệ thống không chỉ phân quyền theo role admin, sp admin, mod. Mà phân quyền kiểu chi tiết từng routes crud. VD: quản lý banner account mod1 có quyền add, remove, update. Còn Mod2 chỉ có quyền update

@tuannguyenthai Ай бұрын

Hình như hướng thầy làm là cho accesstoken khoảng 30d thì hết hạn bắt đăng nhập lại. Xong cấp token mới Nếu như em muốn làm theo phong cách accesstoken và refreshtoken Thì em sẽ lưu refreshtoken vào trong db. Sau đó giới hạn accesstoken còn 15m Sau mỗi 15m mình sẽ cho token hết hạn và viết ra 1 controller refreshToken nhấn vào kiểm tra refreshToken còn hạn hay không nếu còn mới cấp cho accesstoken mới Trong trường hợp refreshtoken hết hạn sẽ bắt đăng nhập lại và cấp cho accesstoken và refreshtoken mới luôn. làm theo luồng như này trông ổn không ạ

@Pinga-x1u Ай бұрын

Ko nên lưu token trong db nhé b. Giả sử có người hack dc bảng lưu token là đi một sải rồi

@tienthaithanh8673 25 күн бұрын

@@Pinga-x1u luu refresh token la dung r, DB ma bao bi hack thi lam an gi nua kk

@Pinga-x1u 25 күн бұрын

@ thế b biết vì sao mật khẩu phải hash ko?