спасибо👍

@@МаксЕрмышев а мне на 1.25х комфортно было

мне на 2

@@CrazyMongol123 мне 0.5 норм

Тот же вопрос, автор сам сказал что нет механизма отзыва токенов

Похоже нужно хранить все рефреш токены в БД и не удалять их, а при колизии нужно заблокировать все рефреш токены пользователя. При этом пользователю на всех устройствах и злоумышлинику нужно будет перелогинится.

Тоже не понял. Он по логике с длинной жизнью, когда протухает акссес, рефреш генерит заново пару.

Но ведь у хакера останется не валидный рефреш токен. Он как минимум сможет постоянно пытаться его рефрешить что будет всегда сбивать все рефреш токены для реального пользователя. Да и вообще, для этого и красть то не нужно ничего. Зная userId пользователя можно генерить не валидные токены, отслылать их на ендпоинт для рефреша и тем самым сбивать все токены реально пользователя. Вот такое западло получается можно делать. Как-то не понятно с этим моментом.

@@valeron_1337 1) Юзер логинится. 2) Мы создаем аксес токен и рефреш токен 3) сохраняем рефреш токен (токен, юзер айди, флаг использования, и время действия) 4) возвращаем токены 1) происходит рефреш запрос от юзера. 2) проверяем наличие токена в бд, проверяем что токен не использовался, проверяем что токен не протух. Если токен валидный то заменяем флаг на использован и выдаём новую пару токенов. Если токен не найден в бд или он просрочен то возвращаем 401. Если токен был использован, то скорее всего он был скомпрометирован и мы удаляем все рефреш токены (или заносим в бан, к примеру) И теперь единственный способ получить рефреш токен это авторизация. Так как мы удалили токены то колизия не произойдет повторно.

@@dmytro_bro Большое спасибо за разъяснение. Звучит надежно. Поделитесь пожалуйста ресурсом откуда почерпнули данное решение, если не сами до него дошли. Я просто сейчас посмотрел третий урок (Сервер) и исходя из него, описанный сценарий вполне возможен. То есть, получается как вы и написали в своем первом комментарии, сервер будет трактовать перелогиненого пользователя и хакера как две сессии на разных устройствах.

Мне тоже это непонятно. Вы поняли уже?

@@centwor1on167 А, ну и ещё добавлю, не помню было ли это упомянуто в видео. Refresh токен обычно делают не JWT, а хранят именно на, допустим, сервере авторизаций, прямо где-то в базе, ну или на худой конец в памяти. Тут никаких противоречий нет, т.к. именно получение новых токенов в любом случае происходит где-то централизованно, а вот access-токены могут уже использоваться при обращении к разным серверам

Похоже, что просто количество необходимой коммуникации снизилось существенно. С JWT серверам авторизации и апи нужно общаться не каждый запрос пользователя к апи, а только в момент смены пары токенов.

Если его, по вашим словам, нельзя передавать, то как вы собираетесь его использовать? Либо передаете в Authentication хедере, либо как HTTP-only куки. Но передать придется в любом случае, без этого сервак вас не узнает

@@ДмитроПрищепа-д3я Скажи JWT существует потому что AJAX запросы не шифруються как HTTP? И bearer токен имеет двойное назначение как токен авторизации и токен для подписей данных?

@@ЕвгенийБорисов-е1ч JWT(как и другие авторизационные токены) существует потому, что в REST приложениях не хранится состояние пользователей, поэтому и все данные для аутентификации нужно передавать вместе с запросами(не совсем полная история, конечно, в целом токенная атуентификация существует потому, что очень часто она удобнее, чем сессии). Кстати, HTTP не шифруется вообще, это просто протокол прикладного уровня над TCP. Шифруется уже расширенная его версия - HTTPS. К токенам это отношения не имеет. Bearer - тип схемы аутентификации в Authorization заголовке запроса, который означает, что после него идет такой токен, что подходит для доступа к ресурсам, защищенным по OAuth 2.0. Упрощенно говоря это значит, что такого токена полностью достаточно для получения наиболее полного доступа к ресурсу(наличие любого криптографического ключа у носителя токена не проверяется). Более подробно читать, собственно, спецификацию, а конкретно RFC 6750(datatracker.ietf.org/doc/html/rfc6750). Таким образом видно, что JWT полностью соответствует этой спецификации. Назначение Bearer токена - исключительно авторизация, по крайней мере в изначальном его смысле. Сами данные при этом могут, в зависимости от апи, передаваться в любом желаемом виде, хоть сырыми как query-параметры или в теле, хоть асимметрично шифрованными/как-то подписанными. Токен(и конкретно JWT тоже) к ним отношения не имеет, лишь к аутентификации пользователя, сделавшего запрос.

@@ДмитроПрищепа-д3я Ну вот я и слышал постоянно про JWT авторизацию и Bearer токен и у меня все смешалось и я запутался ну теперь чуть яснее

2 отправь на клиент дополнительный заголовок, что срок годности токена истек

Пользователю будет выдана новая пара access-refresh токенов

@@georgemanlove7411 разве это обязательно должно убивать предыдущие пары? А как тогда держать авторизацию на нескольких устройствах? Ведь логин в одном будет убивать другой.

интересно то что если хакер успел поменять логин и пароль пользователя, до истечения скрока токена, то и перелогинится пользователю будет сложнее и то если єта функциональность заимплеменчина в виде сброса пароля и т.д.

@@char-24 Вот я тоже об этом подумал. А если например еще и поменял e-mail или телефон.

не будем!

@@aleksandrkravtsov8727 :)

Вот именно, в видео рассказывается про аутентификацию. А еще небольшая каша с пониманием криптографии с открытым ключом

Нет, конечно же, в tokens явно не на второй слог ударение.

​@@ДмитроПрищепа-д3я 8:25 это автор видео говорит токе́н

обнаружен гуманитарий. уничтожить.

@@404Negativeпшел ты)

Перебором можно. :)

@@JavaScriptNinja Ну перебором всё что угодно можно, вопрос в времени =)

А кто-мешает сделать сервиc-метод "Ping" в который не надо передавать токен?

Зачем кодировать данные? Вы путаете подпись которая гарантирует неизменность данных с их шифрованием

en.wikipedia.org/wiki/JSON_Web_Token

А сейчас?))

Потому что проекты разрастаются. Микросервисная архитектура и т.п. более того, у вас может быть сценарий что пользователь авторизуется на одном сервере, а потом (допустим) балансировщик нагрузки кидает его на другой

Ну можно. Но тогда придеться сессию делать распределенную. И прочие не очень удобные вещи.

Поле iat содержит время выдачи токена

@@JavaScriptNinja спасибо :) главное что ответили)

Этот парень шарит. Похуй на дикцию. Его рисунки перекрывают все минусы.

да уж. пусть лучше статьи пишет

Вас жестоко обманули насчет "читается" )) читается просто - "j - w - t" (см. букварь англ. языка)

С чего бы это?! en.wikipedia.org/wiki/JSON_Web_Token

не знаю как насчет Википедии ... Но вот нативный американец - kzbin.info/www/bejne/bZ_El5R-briXmrc А вот дамочка из официального Yuotube-канала фирмы Auth0 - kzbin.info/www/bejne/gF6cgmdsbtCsgMU - kzbin.info/www/bejne/joLRoJ2wg5l6ibs

вот еще ) - kzbin.info/www/bejne/nWOUpnuEfq6Yra8

Просто не все в теме, как правильно :) www.quora.com/Why-is-JSON-Web-Token-JWT-pronounced-jot В целом, можно произносить J W T как "Джей Даблъю Ти", но это немного коряво, ибо принято "джот". Но уж точно не "Джей Ви Ти"

Весь мир идёт вперёд, одна раися вперду! А ты не задумывался, что ты разговариваешь как раз на диалекте украинского языка?

Спасибо за заботу :) но родителям виднее чего они хотят

Ключ который хранится на сервере? Да, полно людей так делает, успехов в подборе ключа даже в 12 символов

А rsa ключик подберешь?))

поняли, ребята. просто ключ подберите. и все деньги мира ваши.