Fico feliz que o conteúdo tenha ajudado!

Agradeço o feebdack e fico feliz em ter ajudado.

Fico feliz que tenha gostado Junior!

Ganhei o dia com esse comentário, haha

Obrigado 😃

Pô, que legal, fico feliz em saber que ajudei. :)

Fico feliz que tenha gostado Felipe!

Valeu!

Obrigado 😃

@@LuizTools tem algum material que eu consiga fazer o redirecionamento pelo backend caso a resposta seja 401

Com o objeto response do Express você pode chamar a função redirect. Dependendo da sua tecnologia de frontend, pode funcionar. No entanto, o mais comum é o backend devolver 401 e o front fazer o redirecionamento. stackoverflow.com/questions/19035373/how-do-i-redirect-in-expressjs-while-passing-some-context

Fico feliz que tenha gostado da didática.

Fico feliz que tenha gostado Marcos!

Obrigado 🤙

Fico feliz que tenha gostado. :)

Fico feliz que tenha gostado Maik!

Fico feliz que tenha dado certo, obrigado pelo feedback!

Obrigado pelo elogio!

Fico feliz que tenha gostado!

Fico feliz que tenha gostado!

Fico feliz que tenha ajudado!

No vídeo eu dei um exemplo bem rudimentar. Em uma aplicação real você pode salvar em um Redis ou MongoDB, por exemplo, pois é um dado temporário, quase um cache de tokens.

Fico feliz que tenha gostado Cristiano!

Valeu Eduardo!

Fico feliz que tenha gostado!

Fico feliz que tenha gostado!

Show de bola, fico feliz em ter ajudado!

Eu que agradeço pelo feedback, a ideia é exatamente essa: ajudar!

Fico feliz que tenha ajudado!

Fico feliz que tenha gostado Patrick!

Fico feliz que tenha gostado Sergio.

Fico feliz que tenha gostado!

Fico feliz que tenha gostado Zoltan!

Fico feliz em ter ajudado!

Bom dia Giovanne, tudo bem? Aqui tem tudo que precisa saber sobre esse índice: docs.mongodb.com/manual/core/index-ttl/ Resumindo, pegue um campo data, crie índice pra ele dizendo em quanto tempo depois da data daquele campo o documento deve ser excluído automaticamente.

Fico feliz que tenha gostado!

Fico feliz que tenha gostado Wellington.

Fico feliz que tenha gostado Daniel!

Agradeço o feedback. Como o JWT é pro backend confiar em uma requisição vinda de qualquer lugar, pode nem mesmo ter front, pode ser outra API querendo falar com essa. Logo, foge do escopo da lição.

Muito obrigado 😁

Fico feliz que tenha gostado Kalebe!

Fico feliz que tenha gostado!

Que bom que ajudou!

Eu costumo colocar o id da role sim. Email eu já acho um pouco sensível para incluir, prefiro apenas ids.

Fico feliz que tenha gostado!

Se você programou do jeito que escreveu o comentário está errado, pois o nome do cabeçalho deve ser uma string, entre aspas. Na descrição do vídeo tem o link para o tutorial em texto onde pode acessar os fontes e ver com mais detalhes para resolver estes problemas de código.

Boa tarde Helcio, tudo bem? 1) depende do algoritmo utilizado, mas a resposta padrão é "sim". Mais aqui: auth0.com/blog/json-web-token-signing-algorithms-overview/ 2) eu definiria o tempo de limpeza equivalente ao tempo de expiração do token, afinal, depois que ele expirar, não vale a pena manter na blacklist pois ele já será barrado pelo fator tempo. Note no entanto que em prod eu não faria daquela forma, usaria Redis ou MongoDB. Meu intuito no vídeo foi ser didático. Vale salientar que o "usuário médio" não faz logout, ele só fecha a aba do navegador e deixa a sessão expirar sozinha, haha

Fico feliz que tenha gostado André!

Depende muito da sua tecnologia de front. Mas em linhas gerais, você faz o POST na rota de login e salva o token recebido em cookies ou localstorage. Em cada requisição subsequente, você pega de onde salvou e manda no header da request, conforme cito no vídeo.

@@LuizTools Obrigado pela resposta... essa parte "você faz o POST na rota de login e salva o token recebido em cookies ou localstorage." eu não faço idéia de como fazer. Meu front é Vuejs. Tem alguma dica onde posso preocurar ou como procurar? Obrigado desde já.

Então, varia muito de front pra front e eu não conheço nada de Vue. Se você já fez tela de login alguma vez na vida, tinha um form, certo? Esse form tem de fazer POST na rota de login do seu backend. Se soou "grego", talvez você tenha de voltar um pouco mais atrás pra dar uma revisada em form, submit, etc. Nesse livro eu ensino esses conceitos todos, mas não falo de Vue: www.luiztools.com.br/livro-nodejs

Você faz adição de headers (independente de quais sejam) quando monta a sua requisição, via programação mesmo.

Se você fechar o Gmail/Facebook/etc e abrir de novo você continua logado, certo? Esse é um comportamento comum na web, é uma questão de experiência do usuário x segurança. Se julgar que precisa de mais segurança e menos UX, pode fazer com que as sessões sejam bem curtas. Assim, mesmo que o usuário não deslogue da sua aplicação, o token dele duraria poucos minutos, a janela para um sequestro de token seria menor. Outras dicas incluem atrelar o token a um IP ou assinatura digital, não permitindo que ele seja usado de outro computador que não o que recebeu o token originalmente. Sessões curtas e controle de origem das sessões são técnicas comuns que os bancos usam.

@@LuizToolsA bom, eu estava com medo disso ofertar grandes riscos, mas então seguirei apenas por tempo de expiração, muito obrigado pela explicação. Além disso, seus vídeos estão me dando uma ótima base para o node e noções de backend, valeu mesmo, tu é fera!!

Fico feliz pelo feedback!

Você cria perfis de usuário ou então array de permissões. Foge do escopo do JWT em si, mas com a info do token, consegue saber quem é o usuário. Sabendo quem ele é, o seu backend sabe o que ele pode fazer. Fazemos um exemplo prático com perfis no módulo 5 deste curso: www.luiztools.com.br/curso-nodejs

Não, o token deve ir no header da requisição. Geralmente usa-se o header Authorization o x-access-token

Link na descrição.

Fico feliz que tenha gostado Juelma!

Fico feliz que tenha gostado!

Se o token está como undefined é porque ele não está indo junto da requisição. Experimente imprimir no console antes de fazer a verificação, pra ver o que está vindo nos headers.

@@LuizTools quando eu dou um console log no token ele print o token normal, token = jwt.sin(({id: result[0].id}, 'vericador', {algorithm: 'HS256'});

Esse código que passou está escrito errado. Recomendo dar uma olhada nos fontes da lição, link na descrição, pode até rodar ele na sua máquina pra ver funcionando.

usa req.headers["x-access-token"] com aspas duplas

O front deve apenas enviar usuário e senha pro back autenticar, via HTTP FORM ou algum HTTP client como Axios. A autenticação no fim das contas sempre acontece no back.

@@LuizTools então eu pesquiso autenticação axios?

@@zonork5856 O tutorial de autenticação é esse do vídeo, consegui fazer? Depois que tiver ele funcionando, tem um vídeo de Axios aqui no canal que pode te ajudar a aprender a utilizar, é um pacote muito popular para fazer a comunicação do front com back.

@@LuizTools sim sim está tudo funcionando no back, só q eu preciso que qnd eu clique em "login" no front, ele autetifique, é a ultima parte do projeto tlg

@@zonork5856 Dá uma olhada no vídeo de Axios, vai te ajudar a entender como usar um HTTP Client para fazer chamadas para o backend: kzbin.info/www/bejne/h3bIioCknLVkhZI

Esse erro indica que não pode ler uma propriedade user de um objeto undefined (não inicializado). Deve ter algum detalhe no seu código que está errado, recomendo dar uma comparada com os fontes do tutorial, link na descrição.

Fico feliz que goste dos vídeos. :)

É que depende muito do framework de front que estiver utilizando e principalmente da biblioteca HTTP Client, não tem como abordar todas possibilidades. Por exemplo, se estiver usando Axios, você passa na função post ou na get um objeto com os headers http, que você preenche da mesma forma que fiz no Postman ali no vídeo. Se estiver usando jQuery Ajax, é bem parecido com Axios também. Em cada lib HTTP Client, tem de consultar a documentação da mesma para ver como fazer apropriadamente. Em meu curso de Web FullStack JS mostro como fazer usando ReactJS + Axios no front: www.luiztools.com.br/curso-fullstack

@@luizfduartejr Estou utilizando JQUERY, obrigado, ja conseguiu clarear as coisas!

Show de bola, depois que pega o embalo, "só vai"!

Tem várias formas e todas elas são baseadas em incluir alguma informação única junto ao payload do JWT. Algumas ideias: incluir o IP, incluir um hash, incluir um ID de sessão, etc. No backend, terá de ter controle desta informação para que toda vez que for validar um JWT recebido, você verificar se essa informação bate com a de quem fez o login. Geralmente faço esse controle com Redis, tem vídeo aqui no canal.

@@LuizTools muito obrigado mesmo , vou procurar o video no seu canal , valeu mesmo TMJ

@@LuizTools no caso seria este video acima correto? você usa JWT e verifica

@@maclaurinrocha2881 Você vai ter de fazer verificações adicionais, além do verify que usei no vídeo. Essas verificações adicionais devem confrontar o conteúdo do payload com alguma base sua, de preferência muito rápida (como Redis) pois será verificado novamente a cada request (conforme as suas regras de verificação, apenas dei algumas sugestões).