Освети пожалуйста тему аутентификации и авторизации поподробнее, а то есть затыки, реализации stateless и statefull, протоколы oauth, openid и тд) думаю тема очень полезна будет) благодарствую за твои труды)
Буквально на днях меня на собеседовании в Банк просили разъяснить как работает JWT, жаль что раньше не посмотрел это видео, всё прям понятно)) спасибо большое! Полезно!
1.Хакер воспользовался access token'ом 2.Закончилось время жизни access token'на 3.Клиент хакера отправляет refresh token и fingerprint 4.Сервер смотрит fingerprint хакера 5.Сервер не находит fingerprint хакера в рефреш-сессии и удаляет ее из БД 6.Сервер логирует попытку несанкционированного обновления токенов 7.Сервер перенаправляет хакера на станицу логина. Хакер идет лесом 8.Юзер пробует зайти на сервер >> обнаруживается что refresh token отсутствует 9.Сервер перенаправляет юзера на форму аутентификации 10.Юзер вводит логин/пароль
Привет. Подскажи стоит ли проходить какие-то курсы по тестированию или же все таки информации в интернете предостаточно чтобы все освоить самому? Было бы интересно узнать твое мнение по этому вопросу и мог бы рассказать какой-то актуальный roadmap в 2023 по изучению?!) Заранее благодарю )
Привет, для уровня junior информации вполне достаточно, главное поставить цель и прокачивать навыки. Хорошие курсы посоветовать не могу, не проходил их)
JWT - это способ кодирования токенов в формате JSON. Bearer Token - это и есть сам токен, строка c добавлением приставки Bearer, которая используется для авторизации (Authorization: Bearer )
По теме JWT было бы интересно узнать варианты тестирования токенов, какие-то важные моменты - особенности.
Спасибо за Ваш труд
Формат материала и его подача, равно топ )
Освети пожалуйста тему аутентификации и авторизации поподробнее, а то есть затыки, реализации stateless и statefull, протоколы oauth, openid и тд) думаю тема очень полезна будет) благодарствую за твои труды)
пушка, сейчас досмотрю видео и считай устроился на работу QA
Отдельно спасибо за ссылки на ресурсы
полезная инфа, готов даже платить за подписку
Буквально на днях меня на собеседовании в Банк просили разъяснить как работает JWT, жаль что раньше не посмотрел это видео, всё прям понятно)) спасибо большое! Полезно!
Пожалуйста, удачи на собесах)
Полезный материал
1:36 кажется оговорка или я что то не понимаю, когда пользователь разлогинивается, может удаляется не userId с сервара а sessuonId?
о, картинка уже более качественная, надеюсь в следующих видео будет не хуже, а может даже и лучше ;)
не совсем понятно про момент, когда злоумышленник получил 2 токена. Почему в какой-то момент он перестает получать новый refresh токен?
1.Хакер воспользовался access token'ом
2.Закончилось время жизни access token'на
3.Клиент хакера отправляет refresh token и fingerprint
4.Сервер смотрит fingerprint хакера
5.Сервер не находит fingerprint хакера в рефреш-сессии и удаляет ее из БД
6.Сервер логирует попытку несанкционированного обновления токенов
7.Сервер перенаправляет хакера на станицу логина. Хакер идет лесом
8.Юзер пробует зайти на сервер >> обнаруживается что refresh token отсутствует
9.Сервер перенаправляет юзера на форму аутентификации
10.Юзер вводит логин/пароль
@@qa_tech Прикольно! Спасибо!
Привет. Подскажи стоит ли проходить какие-то курсы по тестированию или же все таки информации в интернете предостаточно чтобы все освоить самому?
Было бы интересно узнать твое мнение по этому вопросу и мог бы рассказать какой-то актуальный roadmap в 2023 по изучению?!) Заранее благодарю )
Привет, для уровня junior информации вполне достаточно, главное поставить цель и прокачивать навыки. Хорошие курсы посоветовать не могу, не проходил их)
Скажи а где токены передаются в запросах api? Куки, хэдеры, заголовок??
Привет, токены передаются в заголовке "Authorization"
А чем отличается bearer token от jwt?
JWT - это способ кодирования токенов в формате JSON.
Bearer Token - это и есть сам токен, строка c добавлением приставки Bearer, которая используется для авторизации (Authorization: Bearer )
перезалив)
да, добавил конкретику про случай "что будет если злоумышленник получит доступ к токенам"