Чувак, ты просто сверхчеловек. После первого видео о JWT и сессиях я сразу же подписался, после второго я запомнил твой канал. Теперь буду частенько заходить и ставить лайки. Главное не бросай свое творчество, у тебя хорошая осведомленность в данном деле, и, что еще важнее для ютубера, у тебя дар преподавателя. Удачи тебе и большое спасибо

в токен можно записать дополнительный признак пользователя. например, user-agent заголовки. для каждой машины получится отдельный токен. это в случае авторизации через веб страничку

Когда ожидать следующие части??

Не совсем понял объяснения. Что нам даёт хранение отозванных токенов? Почему недостаточно просто заставлять пользователей перелогиниться, если выяснилась компрометация учётной записи после refresh-token?

Продолжай записывать, очень интересно!

3:01 Т.е. резюмируя - у нас есть токен, который не хранит в себе информацию о том, валидный он или нет, и у нас есть знание, что он скомпрометирован - как отозвать его? Нужно вводить доп. сущность, доп. информацию - например хранить в БД все валидные токены, или хранить в БД вообще все токены, но у невалидных будет поле isValid=false, то есть нам надо вводить централизованное хранилище, а это ни что иное, как сессия. Я прав?

а где обещанные следущие видосики с практикой? )

А продолжение-то где? Как бы уже больше полугода прошло...

Спасибо, как раз для своего проекта хотел использовать JWT, теперь буду делать сессию

3:09 Кредо программиста - изобретение велосипедов!

Илья мог бы ты рассказать в следующих видео о MVVM его преимуществах и недостатках

не особо разбираюсь в теме , пока еще даже не джун , но разве не использование в микросервисной архитектуре есть главное назначение разного вида токенов?

"а как вы будете отзывать токены с большим временем жизни вы подумали?" да, таких токенов у нас нет, что тогда? тем более в начале кейса написано, что малое время жизни

Very nice lessons

6 лет занимаюсь бэкэндом с микросервисами, jwt с lifetime 5 минут, как его можно угнать?? Refresh token при угоне инвалидирует токен юзера, юзер перелогинится, инвалидируется токен угонщика и он больше не может ничего делать. В чем я не прав?

Great job

Спасибо)

Фактически, можно и кукис с айди сессии угнать, но у сессий нет рефреша, а против csrf есть csrf-токен, т.е. если сравнивать голые реализации, то по безопасности особой разницы нет, верно я понял?

круто! ждем еще видосов

так а где 3-я часть?

Честно говоря, не вижу большой проблемы в том, что при смене секретного ключа разлогинит всех пользователей. В конце концов такая операция проделывается не по 10 раз на дню, а большая часть пользователей просто скажет "ну ок" и перелогинится.

А мы не можем использовать сессии в AJAX?

Отлично

А для нативок можно придумать суперсекретный ключ который доступен в клиентском приложении и на сервере. Он никогда не передается по сети. Рефреш токен при отправке клиенту шифруется этим ключом. Если хакер угонит рефреш, то ему придется еще и копаться в байткоде что бы найти суперсекретный ключ. Правда это добавит головной боли как хакеру так разработчику

Не пойму что-то. Как можно сделать кросс-сайт атаку если кука подписана ключем на сервере о котором знает только сервер? Ну залогинется хацкер на своем сайте, ну получит свою куку, а подпись он как сделает? И о каких нафиг хакерах идет речь когда у юзеров пароли на мониках висят. Или вообще шедевральная возможность сохранить пароль в браузере, устроился в сервис на работу и сливай пароли с каждого устройства.

Проблемы в том что сессию надо создавать на сессии. И jwt не надежный. Можно резюмировать так.

Категорически не согласен с тем, что если в токене хранить только ID пользователя, а за остальными данными обращаться в БД, то это выходят те же сессии. В случае с сессиями мы получаем Session ID, дальше из БД/файлов/ещё-чего-нибудь получаем связанного с ней пользователя. В случае же с JWT у нас отпадает лишнее звено в виде проверки сессии вне сервера. В то же время хранить абсолютно все необходимые данные о пользователе в JWT просто невозможно. Как-минимум потому-что если у вас появляется какое-то новое поле, то придётся заставлять всех пользователей перелогиниваться, что бы приложение корректно работало.

А этот хакер случайно не Профессор из сериала Бумажный дом?

скомпрометирован, не скомпромеНтирован

А что если мы будем хранить в рефреш токене ip адрес и девайс, с которого произошёл логин, и шифровать этот токен. Далее представим злоумышленник украл рефреш токен и пытается получить новый рефреш токен. Об cодержание токена, то есть об ip адресе и девайсе ему ничего не известно в силу того, что токен - это какая-та зашифрованная строка. Мы получаем от него украденный рефреш токен, дешифруем его, сверяем айпи адрес и девайс запроса с соответствующими значениями в токене, если проверка не прошла, то отклоняем запрос, иначе, то есть запрос на новый рефреш токен делает исходный юзер, что и получил изначальный рефреш токен, тогда выдаём новый рефреш токен. Какие подводные камни у такой схемы?

🤯

Досмотрел до конца

Дружище, "скомпромеНтирован" не есть гуд) Скомпрометирован же! Успехов и роста)

JWT произносится "jot" /dʒɒt/

Меня иногда пугают фоны. Вроде умный дядька. Рассказывает хорошо, а живёт хрен знает где. Какое то кресло убитое, шкаф. Вот и учись на программиста ...

автор, главная проблема только одна: Вы плохо понимаете механизмы работы и АБСОЛЮТНО некорректные делаете выводы. Здравые рассуждения начинаются только на 6й минуте, когда задаете вопрос "Где хранить токены?" (и что в local storage этого делать нельзя). По сути это главная и пожалуй единственная проблема jwt. Я бы мог расписать каждый пункт и показать ошибочность суждений и выводов, но это долго. Надеюсь что за эти 3 года автор вырос в своих познаниях, но тогда странно почему это видео не скорректировано и не перезалито...

Красивый цвет помады

Спасибо!