Kalau dirolling gitu, refresh tokennya dikasih expired date berapa lama ya bg?

kalo udh di refresh gitu, token yang sebelumnya masih bisa dipake ga bang? walaupun belum expired

@@zaki8527 acces token Dan refresh token sebelumnya tidak bisa dipake karena masuk ke blacklist token

@@skidipap6673 caranya gimana tu bang, pake redis kah?

@@zaki8527 iya, blacklist token disimpan di database ataupun cache

Thank you 😁🙏

Iya, utk logout ada APInya utk menghapus cookie & refresh-token ✅ Seperti di menit 11:19

@@afifu ok makash banyak bg😁

Thank you.. 😁🙏

Sama2 gan 😁🙏

Thank you 😁🙏

Thank you~ 🙏😁

@@afifu jangan thank you aja bang, tambah lagi dong kontennya wkwk

You're welcome gan 😁🙏

Ya, sama2 bang 😁🙏

Hehee mungkin nanti bisa lanjut di part 2. Thanks buat feedbacknya 😁👍

agak kurang dikit bang, kayak asbabul nuzul jwt, agak bingung konsep refresh token, jwt yg pakai reffesh token itu yg di payload tidak ada iat kah? atau hanya menpermudah auth server tidak perku login ulang hanya menunjukan toker refresh? menarik saya user sebuah aplikasi yg menggunakan sso,, token bisa dipakai terus utk komunikasi ke server menu jika menggunakan fetch, post atau ajax, tidak di direct ke sso login, atau menolak req, kalau pakai halaman aslinya dia sudah gak feaktif dan ketika refresh du lenpar ke sso

sepertinya jwt itu ada karena kebutuhan stateless pada saat proses auth sehingga backend gak perlu query ke db terus untuk validasi token nya pada tiap request@@Danzz_0_0

Thank you 😁🙏

Pakai Ms. PowerPoint

Yoi, sama2 😁🙏

Kalo utk teknisnya saya gak ada rekomendasi spesifiknya dr mana. Bisa googling, cari di KZbin, atau tanya ke ChatGPT. Kalo menurut saya, selama udah ngerti BE-FE, maka yg dibutuhkan sekedar cari librari utk create & validate JWT. Jadi dg modal pengetahuan BE-FE & konsep JWT auth, bisa bikin API sendiri, setup db sendiri, dan tinggal pakai aja library JWTnya 😁

Access token expirednya brp lama? Ini udah terjawab di menit 09:56 ya... Refresh token expirednya brp lama? Tergantung, kamu pengennya user gak pernah logout, atau dlm waktu sebulan auto logout (artinya user harus login tiap bulan), atau dlm waktu seminggu auto logout, atau gimana? Sesuaikan dengan kebutuhan

Headernya sama aja gakpapa, gak perlu dibedain. Kalo utk payload, itu disesuaikan dg kebutuhan. Kalo access token biasanya butuh role atau scope yg boleh diakses apa aja. Sedangkan refresh token biasanya gak butuh hal2 spt itu, jadi lebih kecil payloadnya.

Maksudnya session-based authorization, tp sessionnya bentuknya JWT kah? Balik lagi, issuenya session-based itu spt yg disampaikan di 4:44 Semoga terjawab 🙏

Iya localStorage gak bisa diakses di server ketika pake strategi SSR ✅ Iya, bisa pake cara tsb, taro di cookie biar tokennya auto dikirim ke server gan

saya nemu aplikasi menggunakan double, cookies dan local storage, dan kirim authorizastion utk cookies, yg di local storage fi header X-CSRFTOKEN. berhub itu aplikasi input data ribuan saya terpaksa input by script krn halaman input saja belum tentu load sempurna krn aksesnya lagi tinggi dan wajib dan lagi periode penginputan. aplikasi pakai vue js, utk handle post and update info page

Gak bisa.. Website B gak punya akses utk melihat/mengedit/menghapus/menambah data cookie/localStorage/sessionStorage dr website A.

@@afifu klo subdomain gmn ? misal kita kunjungin web parent domain, trs kita kunjungi jg subdomain, apakah yg di parent domain bisa d curi ?

@@labkitadev gak bisa jg, web vercel.com gak punya hak akses ke storage dr abc.vercel.com

@@afifuklo begitu pencurian data cookie lebih ke keperluan untuk ads aja ya kebanyakan, selain kesalahan penyimpanan data yg seharusnya di server

@@labkitadev penurian data cookie itu pakenya XSS attack, dan tujuannya buah nge-hack. Kalo ads, itu bukan mencuri, dan itu ada mekanismenya sendiri (bukan XSS)

@@alfiandm5782 Yups memang tetep perlu cek db, tp hanya auth service, dan cek db nya hanya dilakukan 10 menit sekali. Di service lain itu gak perlu cek db, cukup cek JWT aja. Tambahan: JWT itu solve problem yg saya jelaskan di 4:45 (ini terjadi di penggunaan session token)

Ketika me-refresh token, yg dicek adalah apakah refresh tokennya valid. Bisa sekedar dicek validity-nya aja, atau dicek jg expiry time dari refresh-tokennya. Gak masalah access-tokennya udah expired.

@@afifu baik bang,, jadi 10 menit expired dari access token itu sebenarnya hanya untuk validasi refresh tokennya saja ya. terima kasih pencerahannya bang.

@@afifu bang , kalau tidak keberatan, bahas microservices dan konsep penyebaran JWT agar seluruh aplikasi pada microservices punya JWT terbaru.. terima kasih

Tergantung kebutuhan: apakah user bisa login di beberapa device? Jika iya, maka di 1 user tsb bisa punya lebih dr 1 refresh-token

Bisa, seperti yg di penjelasan 10:48 Di situ orang lain pakai token seseorang

@@afifu makasih bang afif

Q: Ketika expired berarti generate token baru dong? A: Iya Q: Jadi setiap response disiapkan token barunya ya? ^Ini maksud pertanyaannya gimana?

@@afifu aplikasi saya (mobile), jika user tidak mengakses aplikasi lebih dari 3 menit maka akan ke keluar. logic saya begini, ketika expired di jwt berubah, maka token berubah kan ya? misal, setiap request, saya tambah expired 3 menit, maka token berubah(baru) dengan expired + 3 menit jadi, di setiap request, bakal ada respon token baru nya. Best pratictice nya gimana ya mas?

@@muhammadalfit5149 pengecekan user logged-in dr refresh-token

Proses authentikasinya gimana itu memang gak saya bahas di video ini mas, 03:09

Proses meminta akses token baru ini bisa ada 2 kemungkinan: * Bisa saat expired langsung request yg baru. * Bisa jg nunggu user mau melakukan request ke resource lain. Terserah sih mau yg mana.. Iya betul, perlu endpoint utk nge-request akses token baru.

@@afifu Ok bang terimakasih infonya

Yoi, sama2 bang 😁🙏