чувак не останавливайся, не важно с какой скоростью ты двигаешься

Лучшее объяснение про виды аутентификации из того, что я видел. Маленькая поправка - base64 это про кодирование, а не шифрование. То что закодировано с помощью base64 любой сможет раскодировать.

14:00 - ошибка. Алгоритм шифрования для JWT-токена можно выбирать HMAC, RSA, RSA-PSS, ECDSA с хеш-функцией SHA-256/384/512. Base64 - не шифрование, а формат кодирования. Формат шифрования можно не указывать в заголовках токена

Один из лучших каналов, все максимально понятно ! Большое спасибо 🙏

Отличный контент, подписался. Но base64 - это способ кодирования, а не алгоритм шифрования. Внутри JWT токена действительно указывается алгорим шифрования, но сам JWT кодируется в base64.

Спасибо за отличное изложение темы, четко и без лишней воды! Сразу все улеглось в голове в четкую схему 👍

Тема, которую долго ждал. Спасибо большое! Надеюсь, вы дальше будете развивать, насколько это возможно, данную тематику.

17:25 рекомендую в случае фейла авторизации запросов всё-таки использовать 403 код. 401 это для ошибки аутентификации.

Очень круто, но обещанного следующего видео нет на канале

Вопросы, которые у меня были, здесь прекрасно освещены! С примерами. Спасибо!

Пересмотрела кучу видео на эту тему. Только после этого стало понятно 👍

Очень качественное изложение. Не все преподаватели способны так детально и интересно подать материал. Вопрос, что лучше, сессии или токен возник еще на 10 минуте. И я был счастлив, что автор этот ГЛАВНЫЙ вопрос предусмотрел. Уважение ❤

Отличное видео: всё по полочкам. Хоть стал понимать, что за JWT мне тут на новой работе подпихивают ))))) Спасибо. Лайк-подписка ;-)

отличный контент, очень недооценен по просмотрам и подпискам. продолжай, не останавливайся, я подписался, поставил лайк и так буду делать со всеми дальнейшими видео. удачи тебе

Супер подача материала! Жаль так редко новые темы.

Отличный видос, отличная тематика, жду с нетерпением следующее видео на эту тему

жду продолжение

Касаемо примера с угоном access токена и подстановку в куки вручную, это же невозможно при http only свойстве?

Добрый день! Скажите, пожалуйста, будет ли продолжение данной серии уроков? Очень интересная тема с вашей подачей.

когда ждать видео по OAuth и OIDC ? тема супер интересная, особенно если сделать пример через google

Круто. Интересно было бы узнать, а как запрещать доступ к определенным страницам через токен .Пока только разобрался как запрещать доступ к определенным действиям, по типу получить через fetch запрос (записав в хедер токен) имена пользователей в формате json .

Красава, молодец, все понятно. Умеешь. Могёшь)))

21:00 я бы еще добавил, что если произойдёт утечка секрета, тогда вся система авторизации станет разоблачена, т.е. любой пользователь сможет сам клепать себе токены и сервер никак не сможет на это повлиять (unless сервер вайпнет секрет и как следствие все токены выданные до станут невалидными). В случае с сессиями, если произошла утечка конкретной сессии, то угроза значительно меньше потому что это касается только одного конкретного пользователя + как ты и сказал, её можно удалить на сервере. Спасибо за видео, очень структурирована и полезно!

Супер! Локанично, с примером, всё по делу. Когда следующее видео?

Отличная тема, жаль только за кадром остался вопрос безопасности, но наверное тогда бы ролик занял в два раза больше времени

Отличный контент, хорош, давай еще!)

ты супер красавчик! Жду новых видосов.

Очень хорошо обьясняешь.

Спасибо большое

Авторизация по JWT не насколько уж и не безопасна. У JWT имеется payload, в котором находится JTI (уникальный идентификатор токена). Ничто не мешает хранить JTI в БД, после чего смотреть имеется ли данный JTI в БД.

А где лучше хранить токен в куках или localstorage\sessionstorage?А можно хранить токен доступа в куках а токен обновления в localstorage\sessionstorage

жаль нет обещанной второй части

Годнота!)

А ты хорош )

а если юзер пароль сменит, токен не инвалидируется?

как делать авторизацию без пароля ? именно с подтверждением емейла по коду из почты - это сейчас самый надежный вариант, но каким образом это использовать пока пытаюсь узнать

🔝🔝🔝

если в бд миллион сессий, то достаточно её проиндексировать бинарным деревом и вуаля, проблема с сессиями решена ведь сложность бин поиска O(n) = log n. и добавлять сессии в такую бд тоже легко, потому что это бинарное дерево. остаётся только поворачивать дерево раз в час и никаких проблем с производительностью.

и когда же новое видео ?? о_О

жаль что реализация не на nest js

а почему только 720р?

Автор, вернись. Пора!