Hubungannya JWT dan OAuth

Поделиться
HTML-код
  • Опубликовано: 24 дек 2024

Комментарии • 86

  • @mynamekenny
    @mynamekenny 3 месяца назад +7

    Keren dah, seperti biasa selalu mudah dimengerti. Kalo mau lebih dalam lagi, bisa share juga header standar JWT contohnya untuk token generatenya kapan dan akan expire sampai kapan.

  • @weikealenphinjaya5837
    @weikealenphinjaya5837 12 дней назад

    kesalahan yang sering terjadi, passing informasi sensitif di payload JWT, which is yang awalnya secure jadi tidak secure.
    karna itu, jangan pernah store sensitive information di payload JWT
    mantep 🤘

  • @jayjolupoi88891
    @jayjolupoi88891 3 месяца назад +3

    mantap pak, lanjutan video sebelumnya nih.
    Terima kasih pencerahannya pak, sangat menjawab pertanyaan saya sebelumnya, juga jadi tau kenapa pake JWT, ternyata biar ngak banyak tektokan antara service dengan auth server.
    semoga berkah terus ilmunya Pak, daging terus ini yang di share
    kalau boleh minta share best practice alur untuk implementasi refresh token dong Pak, yang biasanya ada di JWT, kalo ada course lengkap JWT nya boleh juga 🔥🔥🔥

    • @mynamekenny
      @mynamekenny 3 месяца назад

      Setauku Refresh Token tuh scopenya OAuth sih. Kalo saya implementasinya biasanya random string aja and disimpen di db aja, dan dibalikin juga pas proses authentication bareng AccessToken. Kalo ada implementasi pakai JWT untuk refresh token, boleh juga tuh.

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад +2

      ide bagus

  • @TriAriSetiawan
    @TriAriSetiawan 3 месяца назад +1

    Mantap pak eko, mudah sekali dipahami

  • @trianggautama8467
    @trianggautama8467 3 месяца назад

    mantap pak alhamdulillah pertanyaan saya terjawab 😁

  • @irsanmansyur2085
    @irsanmansyur2085 3 месяца назад

    Mantap , nungguin video lanjutan ttg oauth

  • @demostrane
    @demostrane 3 месяца назад

    19:11 oleh karena itulah bila ada informasi yang sensitif seperti password atau card_number / cvv / expired date di lanjutkan lah ke materi selanjutnya yaitu JWE om . . boleh lah dibahas om materi JWE/JWK/JWA :D

  • @dxdiwp
    @dxdiwp 3 месяца назад

    ini yg ditunggu-tunggu

  • @RisqiRomadhonii
    @RisqiRomadhonii 3 месяца назад

    Kompor gass pak , next bahas jwk dan jwks atau malah passkey auth😁

  • @f2face.
    @f2face. 3 месяца назад +3

    Lanjut bahas cara invalidate access token JWT yang belum expired, Pak.
    Misal, ketika user logout, atau mencegah akses ke resource server ketika access token JWT-nya bocor.

  • @lukmanharun890
    @lukmanharun890 3 месяца назад +1

    Saya biasanya encrypt lagi jwt nya biar body nya tidak bisa dilihat, tapi masukin body jangan yang sensitif😊

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад +1

      gak di enkrip juga gak masalah kalo gak ada data sensitif

  • @pai-ef4yk
    @pai-ef4yk 3 месяца назад +1

    Makasih pak

  • @thaitea5399
    @thaitea5399 Месяц назад

    jwt bagusnya dan aman disimpan dimana pak? selama ini yang saya pelajari jwt disimpan di local storage.

  • @novodewa
    @novodewa 3 месяца назад +2

    Kereeeeennnnn

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад +1

      saya memang ganteng

    • @novodewa
      @novodewa 3 месяца назад

      @@ProgrammerZamanNow kwkwkwkwk bukan kamunya, materi pembahasannya .

  • @hooyah
    @hooyah 8 дней назад

    maap oot dikit. misal app saya itu dashboard dan itu pakai react.
    apakah wajar jika setiap refresh itu hit ke /me agar dapat nama,email.
    dan mungkin ada yang lainya lagi yg di hit hanya untuk mendapatkan object nyaris static(jarang berubah) seperti user gitu.
    aku kepikiran si pake redis jd pas login simpen data user di redis sekaligus tokenya dan apus datanya jika logout, tp misal kalo yg login bersamaan itu banyak. mahal juga kayanya service redis (belum pernah ampe deploy si)
    apa emang di industri untuk case yang kaya gini tuh ya biarin aja emang ngehit terus dia.
    edited: udah nemu dari gpt. katanya biarin aja emang hit terus. untuk di fe bisa pake state management aja gpp, kalo refresh ya hit lg tp kalo pindah halaman kan ga refresh jd state masih ada alias hidup.
    kalo ada saran lain mohon pencerahanya🙏

  • @AdnanErlansyah-nx7xp
    @AdnanErlansyah-nx7xp 3 месяца назад

    Kang eko, tolong buatin tutorial untuk handle race condition yang mana data nya menerapkan soft delete di laravel dong.

  • @KickyMaulana_ID
    @KickyMaulana_ID 15 дней назад

    mas eko. di menit 6:29 kan itu secret key nya disimpan di resource server dan authorization server. kalau semisal nanti client nya iseng minta token nya langsung dari resource server apakah tidak apa apa mas?

    • @dedihartono_
      @dedihartono_ 14 дней назад

      resource server punya data user, email, password dll om?
      ko minta token ke resource server.
      kalau 1 tempat sih, ga masalah. soalnya auth, rosource nya 1 tempat.

    • @KickyMaulana_ID
      @KickyMaulana_ID 14 дней назад

      @dedihartono_ oh iya juga ya

  • @mastertech-15
    @mastertech-15 3 месяца назад

    Request spring security + JWT pak

  • @boboa_
    @boboa_ 15 дней назад

    Izin pak ini bikin alur flow chart nya pakai aplikasi
    apa?

  • @timotiusromulo
    @timotiusromulo 3 месяца назад +2

    Next video : refresh token?

  • @taufiqnewbie
    @taufiqnewbie 3 месяца назад

    Kalau usernya dihapus di auth server, apakah access token yang valid & belum expired masih bisa mengakses resource server?

  • @mauldoto
    @mauldoto 3 месяца назад +2

    kalau penggunaan react/vue/svelte nyimpen tokennya dimana pak?

  • @egipebriyawan1455
    @egipebriyawan1455 3 месяца назад

    Keren Pak Eko.. kira2 butuh materi apa aja yang harus saya tamatin supaya bisa mengaplikasikan oauth dan jwt ini Pak ?

  • @ade_ridwan
    @ade_ridwan 3 месяца назад

    kereeen Mas Eko,
    Kalau semisal ada server untuk menangani transaksi dan perlu relasi dengan data yang di auth server, bagaimana cara mengambil data tersebut dengan relasi nya? atau di transaksi lebih baik disimpan dengan data usernya juga?

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад

      di JWT biasanya ada informasi userId nya, biar gak perlu nanya lagi ke auth server

  • @agungbahtiar4252
    @agungbahtiar4252 3 месяца назад

    Love u pak❤

  • @afiakgaming7720
    @afiakgaming7720 3 месяца назад

    Buat course jwt dan oauth kang

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад

      mau

    • @afiakgaming7720
      @afiakgaming7720 3 месяца назад

      @@ProgrammerZamanNow gasken kang.sekalian buat implementasi nya juga kayak access token refresh token dll

  • @abdaziznet
    @abdaziznet 3 месяца назад

    Rekomendasi untuk menyimpan secreet key dmn kang?

  • @FlyWisnu
    @FlyWisnu 3 месяца назад +9

    Kang tutor belajar Linux dong 😁

    • @robimuhammad95
      @robimuhammad95 3 месяца назад +1

      Di channel Indonesia belajar. Disini pak Eko pake Mac kalau ga salah

    • @ekkirizkiramadhan3553
      @ekkirizkiramadhan3553 3 месяца назад

      Indonesia belajar, banyak os disana

  • @mirasetiawan576
    @mirasetiawan576 3 месяца назад

    Kak anak sy umur 6thn. Tp sy liat dy ada ksempatan buat jd programmer krn iqNa d atas ank² lain sebayaNa. Dsni Gx ush sy jlasin lh klebihan dy. Sy cma mw brtnya Gmna yh kak cara ngasah kedepanNa krn kami slaku org tua buta mslh programmer. Dan tdk ada pndukung lainNa.

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад +2

      anak umur 6 tahun masih bisa berubah2 kesukaannya, biarin aja nanti anaknya pilih sendiri lebih suka kemana

  • @muhammadalfisarrachman6126
    @muhammadalfisarrachman6126 3 месяца назад

    Kalau misalnya saya encrypt jsonnya (ada data exp time) dengan aes256 dengan iv dan keynya static apakah bisa lebih secure dan lebih oke ga ya pak?
    karena concernnya jwt dapat di decode dengan mudah

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад

      selama isi jwt nya bukan dapat sensitif, ya gak masalah

  • @hitsu-kun
    @hitsu-kun 3 месяца назад

    pak mau tanya
    kalo resource server bisa akses secret key, kenapa bukan resource server yg generate access token?

    • @taufiqnewbie
      @taufiqnewbie 3 месяца назад

      Terus fungsinya apa bro resource server generate access token? kan sudah ada auth server yang generate access token?

    • @hitsu-kun
      @hitsu-kun 3 месяца назад

      @@taufiqnewbie buat efisiensi alur ga perlu ada akses ke auth server

    • @taufiqnewbie
      @taufiqnewbie 3 месяца назад

      @@hitsu-kun berarti kondisinya auth server dan resource server ada dalam satu server ya?

  • @mengfandy7365
    @mengfandy7365 3 месяца назад

    pak eko, semisal acc tokennya kita terima dari server, terus simpan di client cookie, walaupun jwt aman.
    apa perlu kita encrypt waktu simpan di cookie?

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад

      gak perlu, kebutuhannya untuk apa di enkripsi?

    • @mengfandy7365
      @mengfandy7365 3 месяца назад

      @@ProgrammerZamanNow kebetulan yang saya simpan di jwt itu “id”, mau itu userId atau yang bertentangan sama user. saya mikirnya apa itu boleh/gaboleh diliat orng. makasih pak responnya 👍👍

  • @RidwanHidayat
    @RidwanHidayat 3 месяца назад

    akhhh ntaps

  • @armandwipangestu
    @armandwipangestu 3 месяца назад

    Pak mau bertanya seputar JWT, best pracitce nya expired access token dan refresh token itu berapa lama?
    saya waktu belajar di internet biasanya access token dikasih expired nya sebentar kayak 15s sampe 1 menit, sedangkan untuk refresh token sekitar 1 jam atau sampe ber hari hari.
    Nah pertanyaan nya, kalo misalkan access token nya sebentar gitu kan harus generate ulang terus setiap access token nya expired (biasanya kalo pake axios namanya interceptors, jadi setiap request dicek kalo udah expired bakalan hit endpoint buat dapetin access token baru), apakah itu normal? soalnya saya pikir kayak bakal terlalu banyak komunikasi ke server kalo kayak gitu.

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад

      gak ada best practice nya, waktu expire nya ngikutin kebijakan perusahaan masing2

  • @djamaatul
    @djamaatul 3 месяца назад

    oauth pake jwt, apa di simpen di redis buat invalidate token ketika logout, kalo redisnya mati?

    • @djamaatul
      @djamaatul 3 месяца назад

      bisa sih bikin shared dependency auth,

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад

      redis mati, ke logout semua, percuma pake jwt kalo tetep di simpen informasi datanya di redis

    • @djamaatul
      @djamaatul 3 месяца назад

      @@ProgrammerZamanNow kalo disini pake dua duanya sih, jwt untuk integrasi antar server, kalo client pake session redis, tapi tetep pake jwt sebagai key , jadi server bisa dua duanya,dan kalo redisnya mati bisa ke mode token jwt. keuntungan pake redis bisa di ubah sesinya, secure untuk single session / save session tanpa expire/ manage sesi account dan bisa nyimpen banyak data kalo jwt ada maximun ngirim ke header nya.nah bingung nya kalo pake jwt ngehapus expire nya sebelum expire gimana ?

  • @GeorgyJefersonMulyadi
    @GeorgyJefersonMulyadi 3 месяца назад

    Encoded, Decoded tuhh ibarat enskripsi sama deskripsi ngak si bg gambaran nya??

  • @zvickyhac
    @zvickyhac 3 месяца назад

    pakai paseto aja agar tidak bisa di decode

  • @muhammadedowardaya
    @muhammadedowardaya 3 месяца назад

    Mangtap

  • @VvazoLsky
    @VvazoLsky 3 месяца назад

    BANG BAHAS JWT VS PASETO 🎉🎉🎉

  • @muhammadgilang4229
    @muhammadgilang4229 3 месяца назад

    trus kenapa ngga makai jwt aja? apakah 0auth lbh aman?

    • @taufiqnewbie
      @taufiqnewbie 3 месяца назад

      CMIIW mungkin 0auth buat sso nya sedangkan jwt untuk ngurangin tektokan antara auth server dengan si resource server

  • @irmanmashuri9084
    @irmanmashuri9084 3 месяца назад

    draw nya pake app ap Kang?

  • @makeanoise639
    @makeanoise639 3 месяца назад

    nge gym pak

  • @fajarnh
    @fajarnh 3 месяца назад

    Pak semisal user dikemudian hari bermasalah(contoh : user tersebut penipu) tapi posisinya si user bermasalah ini sudah ada JWT yang expirednya 1tahun karna check list stay login, ketika akun disuspend supaya tidak bisa login lagi, akun tersebut akan selalu bisa login dengan JWT terakhir dong pak dengan catatan belum expired? mengingat validasi JWT hanya dari verifikasi signature dan data expired JWT belum melewati tanggalnya, tidak adanya pengecekan session dan/atau status user di databse bisa menyebabkan case seperti itu pak ?

    • @ProgrammerZamanNow
      @ProgrammerZamanNow  3 месяца назад

      di OAuth ada yang namanya refresh token dan access token, access token biasanya gak lama alur hidup nya, jadi kalaupun kecuri, dia gak kan bisa login terlalu lama

  • @hlmkun
    @hlmkun 3 месяца назад

    ✅ OAuth
    ✅ SSO
    ✅ JWT
    Selanjutnya bikin tutor kodenya pak, SSO pakai OAuth dan JWT. Misal pake Laravel passport gitu 😂🙏🏻

    • @hlmkun
      @hlmkun 3 месяца назад

      Only member gapapa wes, otw langganan 😅