@@tathanh203 Vậy nên AT lúc nào cũng để thời gian hết hạn cực kì ngắn đó.

Bạn nói đúng ý tôi. Một video khó có thể lột tả hết mọi khía cạnh, cho nên chúng ta nên thảo luận thêm. yeah!

Điên là chỗ này đây..

Tui cũng có thắc mắc giống bạn :> Là tình huống bản thân user spam request nhiều lần lên server với cùng 1 refresh token cũ

Thì phải nâng cao hơn. Cách đây 5 phút trước token này ở HCM, giờ tại thời điểm này ở USA???? Quan trọng ở đây là điểm bất thường.

Khi phát hiện vấn đề hình 6 thì phải destroy hết các resfresh token và user phải login lại đó bạn

@@hienvinhnguyen6729 user login lại khi hệ thống phát hiện refreshToken đã hết hạn được sử dụng lại bạn ơi. Ý mình là khi hacker đánh cắp, và sử refreshToken trước user (refreshToken hợp lệ và chưa hết hạn), và user cũng không sử dụng lại token này nữa (vì lý do thoát web, mất mạng,...).

@@hoanglongvu1538 lúc đó phải kiểm tra lại các yếu tố khác như địa chỉ IP, device id có khớp với lúc đăng nhập không. Nghi ngờ cái đẩy ra trang đăng nhập liền.

@@hoanglongvu1538 mình cũng cùng câu hỏi với bạn. Nếu như vậy thì mình thấy thường sẽ có 1 email hoặc notification về enduser để hỏi rằng đây có chắc chắn là user đó hay ko ? Nhưng mình ko rõ cách triển khai ntn.

cái này dùng giải thích thôi.

Vậy thì làm sao để generate ra AT mới nếu ko đẩy RT từ client lên?

RT lưu ở db rồi cần gì client gửi lên nữa

Cảm ơn bạn đã đồng hành

Có cơ chế phát hiện ra token reuse trong video member. Nhưng không hệ thống nào là an toàn 100% nha em

T nghĩ tình huống này chắc phải check cả IP client đăng nhập để gửi thông báo đến email của user quá

@@binhnguyenthanh5279 đr, mình cx đang làm theo cách của b

Udemy á em. Có nhiều

trong BE ecommerce á em. Hay là chưa?

Em hỏi đúng đấy. Không sai vì đa số chúng ta đang làm là dựa trên lý thuyết em nói. Nhưng video này là cách phát hiện bất thường của một token. Nên chúng ta phải đảm bảo an toàn dữ liệu. AT hết thời gian, RT còn thời gian chứ không phải ngang nhau. Cơ chế này đã được OAuth2 LIB đã công bố 3 năm trước. Em có thể đọc sâu hơn tại OAuth2. Cảm ơn về câu hỏi của em.

ví dụ AT dài 5 phút, RT dài 1 tháng. Sau 10 ngày bạn vẫn lấy được cặp token mới, nhưng sau 31 ngày thì bắt buộc phải đăng nhập lại, do thời gian đã quá dài, khả năng cao người dùng đã bỏ quên máy tính cả tháng trời nên đăng nhập lại cũng là hợp lý.

Câu hỏi rất hay: Nhưng redis chỉ là một cache trung gian, hệ thống lớn thì phải có HA, nếu em chưa hiểu mô hình HA thì xem lại video gần nhất. Thứ 2 là nếu redis die thì em phải lấy ở DB, việc bảo toàn dữ liệu là phải có

@@anonystick Dạ em cảm ơn anh đã giải đáp ạ!

hà hà, comment của em cũng tà đạo nha.

Video trong hội viên anh nói cách khắc phục và thực hành luôn rồi nha em

quy trình vẫn vậy mà bạn. User gửi cặp AT, RT lên. Server phát hiện cặp token này đã được sử dụng ---> có gì đó bất thường ---> tiến hành vô hiệu hóa tất cả AT, RT và bắt đăng nhập lại. Lúc này user sẽ đăng nhập được, còn hacker thì không.

Epic em

Để logout tất cả device cùng lúc thì nên dùng session storage bạn ơi, điểm yếu của jwt là ko thể thu hồi token được, phải chờ hết expire time.

Cookie có thời gian hết hạn, chứ không phải close là mất đâu em. Nhưng về BANK thì tầm 15 giây mà không action thì login lại thì có.

​@@anonystick vâng em cảm ơn. ơ mà anh check lại video về jwt anh nên cho vào danh sách phát của khóa nodejs để tiện cho mọi người thep giõi ạ

@Tú Nguyễn Văn: "xử lý" em nhé, còn cách thì có, nếu em dùng Chrome (đa phần) thì em vào setting, chọn phần On Start Up, lúc này có thể tùy chọn của em đang là "Open the new tab page" nên khi tắt chrome mở lại nó sẽ clear cookie của em (nếu cookie của em đang chưa set maxAge). Em chọn cái bên dưới "Continue where you let off" là sẽ không bị mất cookie sau mỗi lần đóng hẳn browser nhé. Ngoài ra có thể search cookie trong phần setting xem có phần nào em block cookie các thứ không, nếu đang để mặc định như lúc cài mới browser thì cứ kệ phần này không cần đụng gì.

@@trungquandev ok cảm ơn anh nhiều

@@trungquandev em để open the new tab page mà cookie vẫn còn ạ, ko biết là anh đang nói tới session cookie hay expire cookie ạ

Draw.io nha em

@@anonystick Không, ý e hỏi cái phần mềm a vẽ ảnh như paint ấy ạ. A dùng để khoanh khoanh vẽ ấy ạ

@@duyhoangta7988 À, anh hiểu. Epic nha em

@@anonystick Em cám ơn ạ

Có lẽ văn phong của tôi không hợp với Cậu.

Thì cứ out thôi. Lớp học offline người ta đóng tiền nên 100% thời gian phải dùng cho việc dạy kiến thức mới đúng, nói chuyện ngoài lề là đánh cắp thời gian và tiền bạc của người đóng tiền. Còn đây kênh cá nhân, người ta muốn nói gì thì nói, ai thik nghe thì nghe, lên giọng bố đời cái gì?

@@trangiang4127 Đanh đá :v

Không nghe được thì đừng nghe nữa bạn nhé !!! Quan trọng cách người ta giảng dạy bạn có hiểu hay không, ở đây nghiêm túc quá cũng không tốt đâu nha bạn? thoải mái đi bạn ơi !! với bạn mất thời gian nhưng với mọi người thì xứng đáng nhé !!

không coi thì té chỗ khác thôi, đã coi chùa còn ý kiến