Прикрутить логин

охранять на странице некий ID, который вписывается сервером в код страницы после логина клиента

Это вроде как обычная сессионная кука.

Можно конечно и в лыжах в гамаке, но лучше всё же посмотреть, что уже придумали до этого.

Дёшево и сердито – cookies (stateful), более по фен-шую jwt (stateless).

) ребята, просто не совсем моя тема. Учусь, велосипеды и все такое.

Любой скрипт сможет получить доступ к твоему id, если это устраивает, то для учебного варианта или самописного «велосипеда» ок. Если нет, то можно сохранять в HttpOnly Cookie или еще что-нибудь придумать. Это конечно без учета защит от всяких атак типа csrf.

Пишу сервер на kore.

Там вроде как есть куча функций kore_auth_*, правда, ни документации, ни примеров…

Да, kore мне нравится, но с доками это как-то туго, все надо по примерам изучать в поставке.

Кстати, там же с куками все тяжко - надо уведомлять пользователя о сохранении у него, а мне как раз нужно впендюрить сайт за границами РФ, да еще и вход через соц сети, а там сторонние куки. Бред какой-то …

надо уведомлять пользователя о сохранении у него

Я, конечно, не уверен, но по-моему это касается трекеров и сторонних скриптов.

И, разве, плашку тяжело прилепить?

Ребят, коль я уж здесь - как получить от клиента инфу о его желез (мак адрес + еще какие-нибудь железки)? Через JS или можно без него?

Зы: пока не гуглил, может вы мне поиски сократите.

Подозреваю, что тебе нужен отпечаток клиента, а это FingerprintJS.

Благодарю всех.

Дёшево и сердито – cookies (stateful), более по фен-шую jwt (stateless)

Эти вещи не взаимоисключающие.

более по фен-шую jwt (stateless)

Говно эти ваши stateless jwt для сессий. Алсо, FYI.

Не надо.

Мак адрес никак, иди osi почитай и прекрати множить мифы.

Ты видимо не понял вообще вопроса. Говорилось о получении инфы о клиентском железе из JS запущенного на клиентской стороне. Во-первых уже не надо, а во-вторых знаю одну контору, которая компилирует код, который запускается лишь на конкретной машине, всю необходимую инфу они получает через браузер, значит можно.

Через js в браузере мак ты тоже не получишь :) Фингерпринт фингерпринтом, но чудес не бывает, это тебе не жаба плагин и не флеш.

JWT решает проблему CSRF

JWT токены только конченные дебилы хранят в куках

Извини, но после такого утверждения

JWT решает проблему CSRF

твоё мнение можно сразу отправлять на помойку.

а ты вообще знаешь что это? такое ощущение, что ты сам не разбираешься в теме и всех этих приколов с <img src="http://site.com/account/delete" /> не видел. просто нубством в одном конкретном вопросе прямо таки и прет

такое ощущение, что ты сам не разбираешься в теме и всех этих приколов

Да-да, все вокруг нубы и не знаю элементарных вещей, один ты умный, в белом пальто стоишь красивый!

Фраза «JWT решает проблему CSRF» глупая тем, что JWT по сути никак не связан с проблемой защиты от CSRF, эта проблема ортогональная. Можно не использовать куки и хранить информацию о юзере (которая не обязана быть закодирована с использованием JWT) в каком-нибудь localStorage (только теперь она становится доступна вообще для всех скриптов). Либо можно просто прикрутить CSRF-защиту для запросов, благо в большинстве экосистем это делается минут за 30.

Либо можно просто прикрутить CSRF-защиту для запросов

Такая защита - это input type=hidden с хешем в value. Прямо таки для всех… Ага. А куки подключаемые скрипты совсем читать не умеют. Ок. Один ты умный, в белом пальто стоишь красивый!

Такая защита - это input type=hidden с хешем в value. Прямо таки для всех…

И что? (Не обязательно hidden-инпут, можно и при ручных AJAX-запросах передавать жавоскриптом, можно даже в заголовках).

А куки подключаемые скрипты совсем читать не умеют

Ох, т.е. про HTTP-only cookie ты тоже не слышал?

те кто разрабатывает новые технологии всяко умнее тебя. смирись. ты попадаешь в типичную ошибку, подходя к 40-летнему рубежу: не хочешь больше учиться, хочешь почевать на лаврах

Ясно.