пожалуйста, просим продолжения, лучшее объяснение на ютубе, я серьезно я уже 5 самых популярных видео об этой теме смотрю, но твой имеет хорошее объяснение и дополнительные, полезные вещи, которые не все объясняют и могут объяснить!
14:00 - ошибка. Алгоритм шифрования для JWT-токена можно выбирать HMAC, RSA, RSA-PSS, ECDSA с хеш-функцией SHA-256/384/512. Base64 - не шифрование, а формат кодирования. Формат шифрования можно не указывать в заголовках токена
отличный контент, очень недооценен по просмотрам и подпискам. продолжай, не останавливайся, я подписался, поставил лайк и так буду делать со всеми дальнейшими видео. удачи тебе
Лучшее объяснение про виды аутентификации из того, что я видел. Маленькая поправка - base64 это про кодирование, а не шифрование. То что закодировано с помощью base64 любой сможет раскодировать.
Очень качественное изложение. Не все преподаватели способны так детально и интересно подать материал. Вопрос, что лучше, сессии или токен возник еще на 10 минуте. И я был счастлив, что автор этот ГЛАВНЫЙ вопрос предусмотрел. Уважение ❤
Отличный контент, подписался. Но base64 - это способ кодирования, а не алгоритм шифрования. Внутри JWT токена действительно указывается алгорим шифрования, но сам JWT кодируется в base64.
21:00 я бы еще добавил, что если произойдёт утечка секрета, тогда вся система авторизации станет разоблачена, т.е. любой пользователь сможет сам клепать себе токены и сервер никак не сможет на это повлиять (unless сервер вайпнет секрет и как следствие все токены выданные до станут невалидными). В случае с сессиями, если произошла утечка конкретной сессии, то угроза значительно меньше потому что это касается только одного конкретного пользователя + как ты и сказал, её можно удалить на сервере. Спасибо за видео, очень структурирована и полезно!
Спасибо, за очень понятное объяснение! А бывает такое, что есть секретные ключи под разные группы пользователей? Например, чтобы в случае чего поменяли секретный ключ и только какая-то одна группа пользователей слетела. Тогда например пользователей может быть 100 миллионов, а таких ключей например седятки или сотни
Круто. Интересно было бы узнать, а как запрещать доступ к определенным страницам через токен .Пока только разобрался как запрещать доступ к определенным действиям, по типу получить через fetch запрос (записав в хедер токен) имена пользователей в формате json .
А где лучше хранить токен в куках или localstorage\sessionstorage?А можно хранить токен доступа в куках а токен обновления в localstorage\sessionstorage
если в бд миллион сессий, то достаточно её проиндексировать бинарным деревом и вуаля, проблема с сессиями решена ведь сложность бин поиска O(n) = log n. и добавлять сессии в такую бд тоже легко, потому что это бинарное дерево. остаётся только поворачивать дерево раз в час и никаких проблем с производительностью.
как делать авторизацию без пароля ? именно с подтверждением емейла по коду из почты - это сейчас самый надежный вариант, но каким образом это использовать пока пытаюсь узнать
Авторизация по JWT не насколько уж и не безопасна. У JWT имеется payload, в котором находится JTI (уникальный идентификатор токена). Ничто не мешает хранить JTI в БД, после чего смотреть имеется ли данный JTI в БД.
Хмм, JWT не безопасен для перехвата, а сессий много. Середина: Использовать JWT, но который будет валиден только для определенного устройства. 10 устройств = 10 токенов. Отключили 1 устройство = удалили 1 токен. Прошел месяц и токеном не пользовались, то токен удаляем. Думаю такое уже есть.
чувак не останавливайся, не важно с какой скоростью ты двигаешься
Самый главные минусы jwt он не сказал, все что в видео есть обычно в статьях
Спасибо за отличное изложение темы, четко и без лишней воды!
Сразу все улеглось в голове в четкую схему 👍
Один из лучших каналов, все максимально понятно ! Большое спасибо 🙏
пожалуйста, просим продолжения, лучшее объяснение на ютубе, я серьезно я уже 5 самых популярных видео об этой теме смотрю, но твой имеет хорошее объяснение и дополнительные, полезные вещи, которые не все объясняют и могут объяснить!
Пересмотрела кучу видео на эту тему. Только после этого стало понятно 👍
14:00 - ошибка. Алгоритм шифрования для JWT-токена можно выбирать HMAC, RSA, RSA-PSS, ECDSA с хеш-функцией SHA-256/384/512.
Base64 - не шифрование, а формат кодирования.
Формат шифрования можно не указывать в заголовках токена
Надеюсь вы будете продолжать снимать видео такой же тематики, теоретические, фундаментальные, вы очень понятно объясняете
Тема, которую долго ждал. Спасибо большое! Надеюсь, вы дальше будете развивать, насколько это возможно, данную тематику.
Красава, молодец, все понятно. Умеешь. Могёшь)))
Отличное видео: всё по полочкам. Хоть стал понимать, что за JWT мне тут на новой работе подпихивают ))))) Спасибо. Лайк-подписка ;-)
Отличный видос, отличная тематика, жду с нетерпением следующее видео на эту тему
Редко пишу комменты, но тут очень захотелось.
Мега крутой видос, сразу же подписался. Спасибо за твой труд
отличный контент, очень недооценен по просмотрам и подпискам. продолжай, не останавливайся, я подписался, поставил лайк и так буду делать со всеми дальнейшими видео. удачи тебе
Лучшее объяснение про виды аутентификации из того, что я видел. Маленькая поправка - base64 это про кодирование, а не шифрование. То что закодировано с помощью base64 любой сможет раскодировать.
ну и надеюсь этот плейлист будет продолжен
Очень качественное изложение. Не все преподаватели способны так детально и интересно подать материал. Вопрос, что лучше, сессии или токен возник еще на 10 минуте. И я был счастлив, что автор этот ГЛАВНЫЙ вопрос предусмотрел. Уважение ❤
Супер подача материала! Жаль так редко новые темы.
Много работы сейчас. Стараюсь разгрузиться, чтобы почаще видео выпускать
Отличный материал👍 Спасибо!
Лучший! Спасибо большое! Это та самая суть, которую я хотела услышать! Пожалуйста, продолжай!
Подписался на первых минутах, зацепило!
Вопросы, которые у меня были, здесь прекрасно освещены! С примерами. Спасибо!
Разбор темы - просто огонь. Когда будет продолжение из анонса?
Отличный контент, хорош, давай еще!)
очень жду продолжения :,,,,,(((
17:25 рекомендую в случае фейла авторизации запросов всё-таки использовать 403 код. 401 это для ошибки аутентификации.
Отличный контент, подписался.
Но base64 - это способ кодирования, а не алгоритм шифрования. Внутри JWT токена действительно указывается алгорим шифрования, но сам JWT кодируется в base64.
да по сути неважно - один хер спи3дил токен получил доступ
Огромное спасибо! Не пропадай 🙏
Отличная тема, жаль только за кадром остался вопрос безопасности, но наверное тогда бы ролик занял в два раза больше времени
Касаемо примера с угоном access токена и подстановку в куки вручную, это же невозможно при http only свойстве?
Очень круто, но обещанного следующего видео нет на канале
21:00 я бы еще добавил, что если произойдёт утечка секрета, тогда вся система авторизации станет разоблачена, т.е. любой пользователь сможет сам клепать себе токены и сервер никак не сможет на это повлиять (unless сервер вайпнет секрет и как следствие все токены выданные до станут невалидными). В случае с сессиями, если произошла утечка конкретной сессии, то угроза значительно меньше потому что это касается только одного конкретного пользователя + как ты и сказал, её можно удалить на сервере.
Спасибо за видео, очень структурирована и полезно!
Супер! Локанично, с примером, всё по делу. Когда следующее видео?
Скоро) Работа и жизнь последние 2 месяца встали впереди канала, но теперь скоро
Очень крутое и понятное видео 🤍🤍🤍
Добрый день! Скажите, пожалуйста, будет ли продолжение данной серии уроков? Очень интересная тема с вашей подачей.
ты супер красавчик! Жду новых видосов.
Спасибо, за очень понятное объяснение! А бывает такое, что есть секретные ключи под разные группы пользователей? Например, чтобы в случае чего поменяли секретный ключ и только какая-то одна группа пользователей слетела. Тогда например пользователей может быть 100 миллионов, а таких ключей например седятки или сотни
ты лучший, очень понятно
жду продолжение
после "разлогирования" надо отзывать токен, обычно хранят в базе невалидных токенов.
Очень хорошо обьясняешь.
Круто. Интересно было бы узнать, а как запрещать доступ к определенным страницам через токен .Пока только разобрался как запрещать доступ к определенным действиям, по типу получить через fetch запрос (записав в хедер токен) имена пользователей в формате json .
А где лучше хранить токен в куках или localstorage\sessionstorage?А можно хранить токен доступа в куках а токен обновления в localstorage\sessionstorage
Автор, вернись. Пора!
когда ждать видео по OAuth и OIDC ? тема супер интересная, особенно если сделать пример через google
Спасибо большое
если в бд миллион сессий, то достаточно её проиндексировать бинарным деревом и вуаля, проблема с сессиями решена ведь сложность бин поиска O(n) = log n. и добавлять сессии в такую бд тоже легко, потому что это бинарное дерево. остаётся только поворачивать дерево раз в час и никаких проблем с производительностью.
Нифига ты. Не пробовал устроиться в Reddit?
@@coryphoenixxx8238 что не так ?
А разве проблема именно в этом? Проблема ведь в памяти. Столько сессий хранить.
@@vladimircreator хранить миллиард сессий стоит копейки
@@404Negative я и не спорю. Просто речь не о производительности шла же
как делать авторизацию без пароля ? именно с подтверждением емейла по коду из почты - это сейчас самый надежный вариант, но каким образом это использовать пока пытаюсь узнать
жаль нет обещанной второй части
А в чем проблема для каждого пользователя сделать отдельный private-key и инвалидировать его при logout’е
а если юзер пароль сменит, токен не инвалидируется?
плиз next видео
Авторизация по JWT не насколько уж и не безопасна.
У JWT имеется payload, в котором находится JTI (уникальный идентификатор токена).
Ничто не мешает хранить JTI в БД, после чего смотреть имеется ли данный JTI в БД.
Если я правильно понимаю, то всё преимущество токена пропадает, так как нам снова нужно обращаться к базе данных для аутентификации
А ты хорош )
По token-based не совсем согласен, есть же реализации jwt с механизмом черного списка, в которых нет проблем с инвалидацией токенов
А смысл тогда от jwt, если мы также будем хранить в базе значения токенов? Легче тогда просто сессии использовать, разве нет?
Годнота!)
а почему только 720р?
Факап во время записи
и когда же новое видео ?? о_О
🔝🔝🔝
жаль что реализация не на nest js
Хмм, JWT не безопасен для перехвата, а сессий много.
Середина: Использовать JWT, но который будет валиден только для определенного устройства. 10 устройств = 10 токенов. Отключили 1 устройство = удалили 1 токен. Прошел месяц и токеном не пользовались, то токен удаляем. Думаю такое уже есть.
как ты удалишь токены, если они нигде кроме клиента не хранятся?