oauth2 это не генерация токена, а спецификация его получения. По уму надо реализовать Authorization Code PKCE. Сначала надо залогиниться в auth server, потом запросить у него код авторизации и по коду авторизации получить токен. Я бы сделал так: 1 Логинитесь в auth server, получаете токен пользователя. 2 Создаете клиента в auth server. 3 Пробудете авторизовать приложение (клиента) в auth server. Передаете auth server параметры grant_type, client_id, redirect_uri. Auth server вам вернет сразу токен, если с PKCE или code для прохождения авторизации и получения токена. С эти токеном вы можете ходить запрашивать данные вашего приложения в браузере или мобильном приложении. А если вы выпишете один token, который будет использоваться на разных сервисах, то вам придется секрет токена хранить во всех приложениях, что не безопасно. Да и смысла в этом мало. Токены надо хранить в базе по хорошему, чтобы можно было их отзывать.
Спасибо за видео! Если будет возможность - по Lumen делайте больше роликов. Тема на русском языке вообще не тронутая. В основном индусы делают, но их английский очень режет слух.
я с тобой согласен.) Но я записал это видео чтобы просто показать как это работает и только, а на счёт безопасности, все в одно видео не уложить) надеюсь твой каментарий почитают)
Вместо язвительных комментариев, рекомендую лучше готовиться к теме о которой рассказываешь. Jwt не надо расшифровывать, это открытые данные в формате base64. Они просто подписаны с использованием секретного ключа, поэтому изменив их, подписать получится только зная этот ключ. Кроме того, автор, почитай что ли oauth2 стандарт. То что ты сделал, это близко не лежало к rfc6749, rfc6750. У тебя вышла банальная jwt авторизация. Хотя бы в ютубе oauth2 вбей.
@@xbsxbs22 Мой комментарий был по делу. Прежде чем советовать мне что-то читать, сначала почитай другие комментарии, может быть там уже написали то что написал ты, и я это аргументированно ответил. Может быть сначала нужно спросить почему я что-то не так сделал, а потом уже делать выводы?
@@devpovyshev Читал я комментарии, нет там ничего подобного. Где твой аргументированный ответ? Так ты понял, что в видео чушь спорол или до сих пор упираешься в свою правоту? Запиши новое видео с извинениями и корректной реализацией oauth2, а то весь мир пхп-шников за инвалидов держит.
@@xbsxbs22 То есть ты всё равно не в курсе почему я записал так видео и сделал свои выводы? Раз ты сказал, то я конечно запишу видео с извинениями, кто я такой чтобы воспротивится этому. Пхпешников держат за инвалидов только ЧСВ, которые ходят по форумам, ютубу и пишут какие бездарные авторы, а они гуру и перед ними надо извиняться. Хотя они не только пхпешников за инвалидов держат.
![Аутентификация OAuth2 и токены JWT [Slim и React, 53]](http://i.ytimg.com/vi/Q-uE9BpmxJU/mqdefault.jpg)
![Аутентификация OAuth2 и токены JWT [Slim и React, 53]](/img/tr.png)
![[안방1열 직캠4K] 베이비몬스터 치키타 'DRIP' (BABYMONSTER CHIQUITA FanCam) @SBS Inkigayo 241110](http://i.ytimg.com/vi/tnlxo79cAqY/mqdefault.jpg)
oauth2 это не генерация токена, а спецификация его получения. По уму надо реализовать Authorization Code PKCE. Сначала надо залогиниться в auth server, потом запросить у него код авторизации и по коду авторизации получить токен. Я бы сделал так: 1 Логинитесь в auth server, получаете токен пользователя. 2 Создаете клиента в auth server. 3 Пробудете авторизовать приложение (клиента) в auth server. Передаете auth server параметры grant_type, client_id, redirect_uri. Auth server вам вернет сразу токен, если с PKCE или code для прохождения авторизации и получения токена. С эти токеном вы можете ходить запрашивать данные вашего приложения в браузере или мобильном приложении. А если вы выпишете один token, который будет использоваться на разных сервисах, то вам придется секрет токена хранить во всех приложениях, что не безопасно. Да и смысла в этом мало. Токены надо хранить в базе по хорошему, чтобы можно было их отзывать.
Ух ты , какой ж ты молодец , долгих лет тебе!!!
Спасибо огрмнейшей за уроки!
Ты просто огонь!))) читаешь мои мысли!
Спасибо, такие комментарии меня вдохновляют)!
Спасибо за урок, отличное изложение! Однако прошу вас фрейм с вашим лицом делать меньше, так как на 28:11 - не понятно, что написано в 40-й строке.
а как сделать настройку политики конфидиальности и пользовательском соглашении в окне авторизации через гугл
Спасибо за видео! Если будет возможность - по Lumen делайте больше роликов. Тема на русском языке вообще не тронутая. В основном индусы делают, но их английский очень режет слух.
Кодстайл - боль
datetime кто поймет для чего? Срок жизни или время окончания ключа? А может это дата создания? Ну рили, не годно(
Кража кукисов?) Такой токен только на флешке носить или етокен)
Ну да)) не знаю что сложнее) залезть в чужой браузер, или украсить флешку)
@@devpovyshev Кража флешки, ничего не даст) А вот формграбберы, никто не отменял) Есть все - куки, сайт с которого все слито. Так что..
я с тобой согласен.) Но я записал это видео чтобы просто показать как это работает и только, а на счёт безопасности, все в одно видео не уложить) надеюсь твой каментарий почитают)
@@devpovyshev к качеству видео, вопросов вообще нет! Все отлично)
33:27 логины пароли плохо в гет параметрах передавать
Это моя ошибка, не заметил когда записывал видео. Спасибо.
автор не до конца понимает назначение OAuth
Сразу видно обоснованное мнение настоящего эксперта. Снимаю шляпу и удаляю это видео
Вместо язвительных комментариев, рекомендую лучше готовиться к теме о которой рассказываешь. Jwt не надо расшифровывать, это открытые данные в формате base64. Они просто подписаны с использованием секретного ключа, поэтому изменив их, подписать получится только зная этот ключ.
Кроме того, автор, почитай что ли oauth2 стандарт. То что ты сделал, это близко не лежало к rfc6749, rfc6750. У тебя вышла банальная jwt авторизация. Хотя бы в ютубе oauth2 вбей.
@@xbsxbs22 Мой комментарий был по делу. Прежде чем советовать мне что-то читать, сначала почитай другие комментарии, может быть там уже написали то что написал ты, и я это аргументированно ответил. Может быть сначала нужно спросить почему я что-то не так сделал, а потом уже делать выводы?
@@devpovyshev
Читал я комментарии, нет там ничего подобного. Где твой аргументированный ответ? Так ты понял, что в видео чушь спорол или до сих пор упираешься в свою правоту? Запиши новое видео с извинениями и корректной реализацией oauth2, а то весь мир пхп-шников за инвалидов держит.
@@xbsxbs22 То есть ты всё равно не в курсе почему я записал так видео и сделал свои выводы? Раз ты сказал, то я конечно запишу видео с извинениями, кто я такой чтобы воспротивится этому. Пхпешников держат за инвалидов только ЧСВ, которые ходят по форумам, ютубу и пишут какие бездарные авторы, а они гуру и перед ними надо извиняться. Хотя они не только пхпешников за инвалидов держат.