Что такое JWT и как его создать

แชร์
ฝัง
  • เผยแพร่เมื่อ 25 ธ.ค. 2024

ความคิดเห็น • 54

  • @Jay82rus
    @Jay82rus ปีที่แล้ว +77

    Даешь OAuth и OpenID для народа!

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว +16

      Понял, беру на заметку 👌

    • @bennails3447
      @bennails3447 ปีที่แล้ว +1

      @@ListenIT_channel Очень было бы интересно посмотреть реализацию и API запросы при использовании этих технологий🤩😍

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว +9

      А вот и OAuth и OpenID в новом видео th-cam.com/video/W_ffwyefi8A/w-d-xo.html

  • @kidsShow1998
    @kidsShow1998 2 หลายเดือนก่อน

    спасибо большое, было довольно понятно и ясно

  • @valerysilakov3498
    @valerysilakov3498 ปีที่แล้ว +11

    Спасибо за видео! Интересно и констурктивно подана информация. Теперь и правда хочется послушать про OAuth и OpenID 😊

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว +2

      А вот и OAuth и OpenID подъехали th-cam.com/video/W_ffwyefi8A/w-d-xo.html

  • @bublck-gt1lo
    @bublck-gt1lo ปีที่แล้ว +7

    Чувак спасибо за твои видосы !

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว +1

      Спасибо, что смотришь! И спасибо авторам статей, конечно.

  • @VadimBryksin
    @VadimBryksin ปีที่แล้ว +5

    Несколько нюансов:
    1) если напихать слишком много данных в клэйм токена, то токен может превысить лимит хэдера в HTTP запросе, так что размер JWT все-таки конечный, лично сталкивались и приходилось лимитировать...
    2) по рефреш токену - тема не раскрыта, кто должен мониторить за экспаирлися токен или нет?
    * если клиент, то это должен быть какой-то крон на клиентской стороне (допустим раз в минуту) который по тригеру будет рефрешить токен, но тогда нужно мониторить активность юзера и отрубать ежеминутный крон как только юзер стал не активным.
    * или клиент всегда делает запрос с токеном что у него сейчас есть и в ответ получает 401 потому что токен за экспаирился? и только в этом случае клиент рефрешит аксеес токен? а что с запросом который уже за фэилился? это нужно тогда иметь какой-то локальный стак на клиенте, куда складывать все отправленные запросы чтоб в случае с 401, можно было за рефрешить токен и пере повторить запрос из сохраненного стака? + менеджить стак чистя его при успешых запросах
    * может еще какие-то варианты есть?
    Как правильно то?

    • @tami-he4mm
      @tami-he4mm ปีที่แล้ว +3

      Я думаю не обязательно мониторить, к примеру возьмем такой пример:
      у тебя истек access_token, но не refresh_token, при следующем запросе (возьмем endpoint: /home) передавая токены, сервер может вернуть 401 Unauthorized в response может быть тип ошибки к примеру tokes is invalid или token is expired, ты в клиентской части берешь и делаешь запрос на endpoint (к примеру /refresh) которые генерирует новые токены передав refresh token в body request-a, и получаешь новые токены, если там также ошибка это означает что refreshs_token истек тоже
      то есть в конечном итоге мы получаем что нам не нужно мониторить каждую а минуту, а просто ждать 401 Response от сервера

    • @VadimBryksin
      @VadimBryksin ปีที่แล้ว +1

      @@tami-he4mm полагаю вы не очень внимательно прочитали мой оригинальный пост? То что вы описываете я так же описал как 2я опция, которая так же имеет свои проблемы и не удобства

    • @dreksenthebest9738
      @dreksenthebest9738 6 หลายเดือนก่อน

      @@VadimBryksin во второй опции запрос не фейлится, так как рефреш верный, и к тому же выдается новый аксесс токен (я так думаю)

    • @VadimBryksin
      @VadimBryksin 6 หลายเดือนก่อน

      @@dreksenthebest9738 это вы так думаете, но рефреш токен не посылается при каждом запросе, а используется только когда делается рефреш, так что при экспаире аксес токина сервер не знает валидный у тебя ревреш токен или нет.
      короче у нас в проде мы реализовали первый вариант, 2й со стаком слишком муторный. но как по правилам надо ОП в видео не рассказал.

  • @nikitabbrv5947
    @nikitabbrv5947 ปีที่แล้ว +22

    после этого видео необходимо сравнение session-cookis vs jwt)

  • @fu7ur3gh057
    @fu7ur3gh057 ปีที่แล้ว +9

    канал заебись💥 очень хотел бы услышать про OAuth, и про тему разницы хеширования и кодирования

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว +2

      Ок, будет 👌

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว

      А вот и OAuth и OpenID подъехали th-cam.com/video/W_ffwyefi8A/w-d-xo.html

  • @vitaliySobakinson
    @vitaliySobakinson ปีที่แล้ว +3

    Как всегда супер)

  • @linkerloader47
    @linkerloader47 ปีที่แล้ว +7

    Даёшь OpenAPI 3.0 !☝️

  • @spadar1602
    @spadar1602 ปีที่แล้ว +2

    В чем смысл refresh_token если мы его также с клиента передаем на сервер как и access_token?
    Вот если мы refresh запишем в куку как httponly и secure, то смысл появляется, так как сервер сам с ним взаисодействует и это безопасно потому что с клиента нет к нему доступа.

    • @nurlytan_berikbol
      @nurlytan_berikbol ปีที่แล้ว +1

      Refresh так и передается же в куках с httponly secure, а так да реально нету смысла передавать если как access

  • @Dragonboh1
    @Dragonboh1 2 หลายเดือนก่อน

    Я щапутался JWT незашифрован, но сервер расскодирует ключем. Так значит сам JWT зашифрован? или имелось ввиду что данние которие передаютса вместе с JWT не зашифрованние? и Какой смисл в JWT тогда если данние не шефруютса. Я могу же перехватить токен и ево использовать с другим телом запроса. Както не особо понятно

  • @Dragonboh1
    @Dragonboh1 2 หลายเดือนก่อน

    ну если так терминологию использовать то шифрование делаетса методом кодирования, что означает что данние в JWT зашифрованние

  • @artak9439
    @artak9439 25 วันที่ผ่านมา

    12:28 Если при истечении срока действия AccessToken передается RefreshToken, и клиент получает новый AccessToken и RefreshToken, то срок действия RefreshToken ни когда не закончится.

  • @limeniye
    @limeniye ปีที่แล้ว +7

    Тема JWT и микросервисов не бьіла затронута, как по-моему очень важная тема

    • @andrewkotov3234
      @andrewkotov3234 ปีที่แล้ว +2

      Это да, так как это база!

  • @irker8220
    @irker8220 ปีที่แล้ว +2

    Что за звук, который играет в заставке в первую секунду? Очень знакомый, но не могу понять из какой игры ... Starcraft ?

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว +1

      Подсказка: в этом звуке участвуют слова "палатка" и "помощь"...)

    • @irker8220
      @irker8220 ปีที่แล้ว +3

      @@ListenIT_channel Все, спасибо!)) Сразу понял) Герои 3

  • @MrShevrin
    @MrShevrin ปีที่แล้ว +2

    про рефрештокен я запутался)

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว +4

      Ну там ничего сложного: делаем один токен для доступа (access), который мало живёт, и делаем долгоживущий refresh-токен. Пользователь ходит в приложение с access-токеном, пока тот не просрочится, а как просрочится, то кидает в приложение refresh-токен, чтобы перевыпустить access-токен.

  • @Kirill.Bogdanovich
    @Kirill.Bogdanovich ปีที่แล้ว +2

    благодарю

  • @robert33232
    @robert33232 8 หลายเดือนก่อน

    Спасибо!

  • @dariavadimovna8611
    @dariavadimovna8611 ปีที่แล้ว +1

    спасибо)

  • @wce-tube
    @wce-tube ปีที่แล้ว +2

    - Ну, слушайте статью из мира IT (LISTEN IT)
    ...5 минут спустя...
    - Ну, посмотрите на экран
    😅

    • @ListenIT_channel
      @ListenIT_channel  ปีที่แล้ว +2

      Всё-таки не очень будет классно звучать, если в статье озвучивать токен)

  • @АнастасияХохлова-ю4к
    @АнастасияХохлова-ю4к ปีที่แล้ว +1

    Хотим перевод статьи про кодирование и шифрование !

  • @ЕвгенийОльхин-ы4о
    @ЕвгенийОльхин-ы4о ปีที่แล้ว +2

    Интересно

  • @markerok3411
    @markerok3411 ปีที่แล้ว +3

    Если по итогу данные в JWT кодируются с помощью секретного ключа, который есть только на сервере и у пользователя, то почему по нему не безопасно передавать данные паспорта?

    • @saitama-ll8jr
      @saitama-ll8jr ปีที่แล้ว +6

      Если я правильно понял, header и payload шифруется c помощью base64. Т.е. любой, кто получит токен, может просто прогнать их через декодер и получить исходные данные. Именно шифруется только signature, но сама строка signature является теми самыми закодированными header и payload, соединёнными точкой. API при каждом запросе будет сравнивать в пришедшем JWT часть header.payload и расшифрованную с помощью секретного ключа signature. Если они равны, то проверка пройдёт успешно. Надеюсь, что понятно объяснил.

    • @good_job_naum
      @good_job_naum ปีที่แล้ว +9

      1. Секретный ключ есть только у сервера авторизации и клиентского сервера. У пользователя нет секретного ключа.
      2. Хедер и пэйлоад не шифруются, они кодируются base64. Это значит, что с помощью декодера эти данные можно раскодировать.
      Что, собственно, и делает клиентский сервер:
      1) Декодирует хедер и пэйлоад и получает пользовательские данные
      2) На основе полученных пользовательских данных (п. 1) и секретного ключа снова генерирует jwt
      3) Сравнивает jwt, полученный от пользователя, с jwt, который он сгенерировал на основе декодированных данных (п. 2)
      Если токены совпадают, клиентский сервер отдаёт запрашиваемые данные, если нет - ругается.

    • @wce-tube
      @wce-tube ปีที่แล้ว +1

      ​@@good_job_naumобъяснил идеально! 👍

  • @nickfox5394
    @nickfox5394 ปีที่แล้ว +2

    Можно ещё записать видео))))

  • @chickeneffect
    @chickeneffect ปีที่แล้ว +1

    тестировщики здесь 🤙🏻🤙🏻

  • @ShulV
    @ShulV 7 หลายเดือนก่อน +2

    🤔🤔🤔
    Не очень понятно как связаны auth server и app server, а именно - как сопоставляется access_token с пользователем в app server. Если в JWT access_token'а передается id пользователя, то это значит, что id пользователя хранится 2 раза, в auth server и в app server. Или у них общая БД? Какие данные хранятся в БД auth server'а, а какие в БД app server'а? При рассуждении о мастабируемости можно приплести сюда третий application server, который будет заниматься только данными пользователя.
    🗨🗨🗨
    Моё представление как должно быть сделано:
    1) auth server хранит у себя в БД: логин, хэш пароля, идентификатор, время последнего входа, дата регистрации и тд, роль (при необходимости необходимые таблицы для ролей и разрешений для этих ролей)
    2) auth application 1 (микросервис данных пользователей) хранит у себя в БД: идентификатор пользователя и прочие данные пользователя, которые не связаны с аутентификацией и авторизацией (пол, фио, номер телефона, почту...).
    3) auth application 2 (микросервис определенной бизнес-задачи) хранит у себя в БД: все остальные бизнес-сущности. У сущностей, связанных с пользователем сохранен uuid пользователя.
    4-*) auth application n (микросервис n-ой бизнес задачи) по аналогии с auth application 2
    👁‍🗨👁‍🗨👁‍🗨
    Итого: из дублирующихся данных только uuid пользователя во всех микросервисах, можно легко масштабироваться, создавая другие микросервисы, которые будут использовать этого пользователя. Единая система аутентификации. С авторизацией/правами пусть будет всё внутри auth сервера (чтобы не усложнять, а так для каждого микросервиса, наверное, нужны свои частые виды прав и разрешений)

    • @IlyaSlezkin
      @IlyaSlezkin 4 หลายเดือนก่อน

      так когда апп провалидировала токен, зачем ему ещё какие то данные если понятно что токен не поддельный?

    • @IlyaSlezkin
      @IlyaSlezkin 4 หลายเดือนก่อน

      ну и в токене уже будет вся инфа, юзер ид/роли

  • @wce-tube
    @wce-tube ปีที่แล้ว +3

    Большой интерес в комментариях - проснулся

  • @НиколайЗаднепровский
    @НиколайЗаднепровский ปีที่แล้ว +3

    "Данные в JWT закодированы и подписаны, но не зашифрованы.". Зачем вообще говорить что что-то закодировано? Абсолютно вся инфромация в компьютерных системах закодирована так или иначе.

  • @Be3dohannyy
    @Be3dohannyy ปีที่แล้ว +1

    яндекс практикум помойка