чувак не останавливайся, не важно с какой скоростью ты двигаешься

Надеюсь вы будете продолжать снимать видео такой же тематики, теоретические, фундаментальные, вы очень понятно объясняете

Один из лучших каналов, все максимально понятно ! Большое спасибо 🙏

Спасибо за отличное изложение темы, четко и без лишней воды! Сразу все улеглось в голове в четкую схему 👍

Пересмотрела кучу видео на эту тему. Только после этого стало понятно 👍

Красава, молодец, все понятно. Умеешь. Могёшь)))

14:00 - ошибка. Алгоритм шифрования для JWT-токена можно выбирать HMAC, RSA, RSA-PSS, ECDSA с хеш-функцией SHA-256/384/512. Base64 - не шифрование, а формат кодирования. Формат шифрования можно не указывать в заголовках токена

Тема, которую долго ждал. Спасибо большое! Надеюсь, вы дальше будете развивать, насколько это возможно, данную тематику.

Отличный материал👍 Спасибо!

ну и надеюсь этот плейлист будет продолжен

Подписался на первых минутах, зацепило!

Очень качественное изложение. Не все преподаватели способны так детально и интересно подать материал. Вопрос, что лучше, сессии или токен возник еще на 10 минуте. И я был счастлив, что автор этот ГЛАВНЫЙ вопрос предусмотрел. Уважение ❤

Редко пишу комменты, но тут очень захотелось. Мега крутой видос, сразу же подписался. Спасибо за твой труд

Отличное видео: всё по полочкам. Хоть стал понимать, что за JWT мне тут на новой работе подпихивают ))))) Спасибо. Лайк-подписка ;-)

Отличный видос, отличная тематика, жду с нетерпением следующее видео на эту тему

Супер подача материала! Жаль так редко новые темы.

Лучшее объяснение про виды аутентификации из того, что я видел. Маленькая поправка - base64 это про кодирование, а не шифрование. То что закодировано с помощью base64 любой сможет раскодировать.

отличный контент, очень недооценен по просмотрам и подпискам. продолжай, не останавливайся, я подписался, поставил лайк и так буду делать со всеми дальнейшими видео. удачи тебе

Огромное спасибо! Не пропадай 🙏

Лучший! Спасибо большое! Это та самая суть, которую я хотела услышать! Пожалуйста, продолжай!

Отличный контент, хорош, давай еще!)

Разбор темы - просто огонь. Когда будет продолжение из анонса?

Вопросы, которые у меня были, здесь прекрасно освещены! С примерами. Спасибо!

Отличный контент, подписался. Но base64 - это способ кодирования, а не алгоритм шифрования. Внутри JWT токена действительно указывается алгорим шифрования, но сам JWT кодируется в base64.

очень жду продолжения :,,,,,(((

ты лучший, очень понятно

Очень крутое и понятное видео 🤍🤍🤍

Спасибо, за очень понятное объяснение! А бывает такое, что есть секретные ключи под разные группы пользователей? Например, чтобы в случае чего поменяли секретный ключ и только какая-то одна группа пользователей слетела. Тогда например пользователей может быть 100 миллионов, а таких ключей например седятки или сотни

17:25 рекомендую в случае фейла авторизации запросов всё-таки использовать 403 код. 401 это для ошибки аутентификации.

Очень круто, но обещанного следующего видео нет на канале

Отличная тема, жаль только за кадром остался вопрос безопасности, но наверное тогда бы ролик занял в два раза больше времени

Добрый день! Скажите, пожалуйста, будет ли продолжение данной серии уроков? Очень интересная тема с вашей подачей.

21:00 я бы еще добавил, что если произойдёт утечка секрета, тогда вся система авторизации станет разоблачена, т.е. любой пользователь сможет сам клепать себе токены и сервер никак не сможет на это повлиять (unless сервер вайпнет секрет и как следствие все токены выданные до станут невалидными). В случае с сессиями, если произошла утечка конкретной сессии, то угроза значительно меньше потому что это касается только одного конкретного пользователя + как ты и сказал, её можно удалить на сервере. Спасибо за видео, очень структурирована и полезно!

Касаемо примера с угоном access токена и подстановку в куки вручную, это же невозможно при http only свойстве?

Очень хорошо обьясняешь.

Супер! Локанично, с примером, всё по делу. Когда следующее видео?

ты супер красавчик! Жду новых видосов.

жду продолжение

Спасибо большое

Круто. Интересно было бы узнать, а как запрещать доступ к определенным страницам через токен .Пока только разобрался как запрещать доступ к определенным действиям, по типу получить через fetch запрос (записав в хедер токен) имена пользователей в формате json .

Автор, вернись. Пора!

когда ждать видео по OAuth и OIDC ? тема супер интересная, особенно если сделать пример через google

Годнота!)

после "разлогирования" надо отзывать токен, обычно хранят в базе невалидных токенов.

А ты хорош )

жаль нет обещанной второй части

А где лучше хранить токен в куках или localstorage\sessionstorage?А можно хранить токен доступа в куках а токен обновления в localstorage\sessionstorage

А в чем проблема для каждого пользователя сделать отдельный private-key и инвалидировать его при logout’е

🔝🔝🔝

По token-based не совсем согласен, есть же реализации jwt с механизмом черного списка, в которых нет проблем с инвалидацией токенов

если в бд миллион сессий, то достаточно её проиндексировать бинарным деревом и вуаля, проблема с сессиями решена ведь сложность бин поиска O(n) = log n. и добавлять сессии в такую бд тоже легко, потому что это бинарное дерево. остаётся только поворачивать дерево раз в час и никаких проблем с производительностью.

Авторизация по JWT не насколько уж и не безопасна. У JWT имеется payload, в котором находится JTI (уникальный идентификатор токена). Ничто не мешает хранить JTI в БД, после чего смотреть имеется ли данный JTI в БД.

плиз next видео

как делать авторизацию без пароля ? именно с подтверждением емейла по коду из почты - это сейчас самый надежный вариант, но каким образом это использовать пока пытаюсь узнать

а если юзер пароль сменит, токен не инвалидируется?

и когда же новое видео ?? о_О

жаль что реализация не на nest js

Хмм, JWT не безопасен для перехвата, а сессий много. Середина: Использовать JWT, но который будет валиден только для определенного устройства. 10 устройств = 10 токенов. Отключили 1 устройство = удалили 1 токен. Прошел месяц и токеном не пользовались, то токен удаляем. Думаю такое уже есть.

а почему только 720р?