LINUX.ORG.RU

История изменений

Исправление kirk_johnson, (текущая версия) :

Да. Второе дешевлее(cpu меньше).

LOL. Только ты забыл, что пароли закриптованы, и их тоже нужно проверять по хешу. Это если у тебя не LDAP (ты ведь не хочешь на каждой ноде хранить полную базу логинов паролей, верно?). Потому что если у тебя LDAP, то к нему ты цепляешься по TLS... ну ты понел, да? :)))

Пароль пользователи меняют раз в никогда. Т.ч. это «неизменяемый шареный стейт», у него сильно меньше проблем.

Бгг. А новые пользователи появляются часто. У тебя, конечно, нет, но вообще да.

А токены нужно перегенерировать минмиум раз в сессию. Проблемы начинаются, когда пользователь ползает по сайту и каждый клик изменяет состояние сессии.

Для этого есть кукисы. JWT нужен для тех вещей, которые критичны (пермиссии и валидация пользователя), и которые ты не можешь доверить клиенту хранить самому (потому что он может их подделать).

Или редиректится куда-то наружу (например для оплаты), и через надцать минут должет вернуться и продолжить с того же места. Почему это не очевидно?

Потому что ты чушь несешь, лол.

Исправление kirk_johnson, :

Да. Второе дешевлее(cpu меньше).

LOL. Только ты забыл, что пароли закриптованы, и их тоже нужно проверять по хешу. Это если у тебя не LDAP (ты ведь не хочешь на каждой ноде хранить полную базу логинов паролей, верно?). Потому что если у тебя LDAP, то к нему ты цепляешься по TLS... ну ты понел, да? :)))

Пароль пользователи меняют раз в никогда. Т.ч. это «неизменяемый шареный стейт», у него сильно меньше проблем.

Бгг. А новые пользователи появляются часто. У тебя, конечно, нет, но вообще да.

А токены нужно перегенерировать минмиум раз в сессию. Проблемы начинаются, когда пользователь ползает по сайту и каждый клик изменяет состояние сессии.

Для этого есть кукисы. JWT нужен для тех вещей, которые критичны (пермиссия и валидация пользователя), и которые ты не можешь доверить клиенту хранить самому (потому что он может их подделать).

Или редиректится куда-то наружу (например для оплаты), и через надцать минут должет вернуться и продолжить с того же места. Почему это не очевидно?

Потому что ты чушь несешь, лол.

Исходная версия kirk_johnson, :

Да. Второе дешевлее(cpu меньше).

LOL. Только ты забыл, что пароли закриптованы, и их тоже нужно проверять по хешу. Это если у тебя не LDAP (ты ведь не хочешь на каждой ноде хранить полную базу логинов паролей, верно?). Потому что если у тебя LDAP, то к нему ты цепляешься по TLS... ну ты понел, да? :)))

Пароль пользователи меняют раз в никогда. Т.ч. это «неизменяемый шареный стейт», у него сильно меньше проблем.

Бгг. А новые пользователя появляются часто. У тебя, конечно, нет, но вообще да.

А токены нужно перегенерировать минмиум раз в сессию. Проблемы начинаются, когда пользователь ползает по сайту и каждый клик изменяет состояние сессии.

Для этого есть кукисы. JWT нужен для тех вещей, которые критичны (пермиссия и валидация пользователя), и которые ты не можешь доверить клиенту хранить самому (потому что он может их подделать).

Или редиректится куда-то наружу (например для оплаты), и через надцать минут должет вернуться и продолжить с того же места. Почему это не очевидно?

Потому что ты чушь несешь, лол.