Аутентификация в Веб-Приложениях 👨‍💻JWT и Сессии

Рет қаралды 56,478

Күн бұрын

Roadmap по каналу - bit.ly/3yKtxWf
Курс GOLANG NINJA - bit.ly/3F8hvZW
Получи бесплатный Roadmap для Backend разработчика -
Таймкоды:
00:00 - Авторизация vs Аутентификация
02:22 - Сессии
05:37 - HTTP cookie
08:54 - Токены
15:45 - JWT
21:40 - Сессии vs Токены
#программирование #разработка #web #it #frontend #backend

Пікірлер: 95

@alexrybalov8917 3 жыл бұрын

Очень сложная и тяжелая для восприятия информация, поданая очень простым языком. Спасибо Макс.

@ediego_64 Жыл бұрын

Отличное видео, хорошая структура подачи материала! Успехов!

@fairy-tale-composer 2 жыл бұрын

Огромное спасибо! Видео - кладезь информации, объяснения понятны даже фронтендеру :D

@zak_47 3 жыл бұрын

Очень нравится твой канал! Продолжай в том же духе! И помни "много уроков не бывает" =)

@user-xg9wt3he9q 3 жыл бұрын

Полезная инфа, продолжайте в том же духе👍

@Alexander-lp2qy 3 жыл бұрын

1. Сервер не имеет контроля над токенами - принудительное разлогирование можно реализовать без blacklist/whitelist, если подписывать токены секретным ключом + "соль" (уникальная для юзера). При изменении "соли" токен перестанет быть валидным для этого пользователя. 2. Токены можно использовать на разных доменах - в случае с Http only cookie похоже нельзя. 3. Защита от угона токена - в токене можно хранить дату, до которого он валиден, и fingerprint пользователя (ip, user-agent и тп).

@theban2517 2 жыл бұрын

Соль в данном случае как раз будет неявной реализацией black/white list, а сама архитектура stateful

@TheEBPO Жыл бұрын

Было очень ползено! Спасибо за труд!

@olexisme 3 жыл бұрын

Огромное спасибо за видео:)

@mikhail3374 Жыл бұрын

Спасибо, очень познавательно! Респект!

@ileatvazazelpro316 Жыл бұрын

Спасибо огромное за такое простое объяснение!

@mrhell2863 3 жыл бұрын

Как будет время, разбери пожалуйста на примерах, как правильно организовать роли и права и что используют обычно, casbin или самому можно написать реализацию. Желательно не только админ, гость, пользователь а более кастомные с назначением прав и тд.

@zak_47 3 жыл бұрын

да, норм тема, было бы интересно

@kirillshchur2697 Жыл бұрын

Спасибо тебе! Очень доступно объясняешь!

@dinaraskripnik7913 5 ай бұрын

Максим, спасибо за труд, за прекрасную, лаконичную, понятную и структурированную подачу материала. Захотелось посмотреть остальные видео с Вашего канала.

@EpicFile_shorts Жыл бұрын

Спасибо! Ты понятно объяснил и очень помог

@MaksimZhashkevych Жыл бұрын

🙌🏻

@themichael8767 Жыл бұрын

Спасибо Вам большое 🤍

@alexrybalov8917 3 жыл бұрын

Прекрасно объяснил.

@cronosnoname4038 3 жыл бұрын

Огонь, прям разжевал и в рот положил ! Спасибо за видео очень понятно и информативно :-)

@svetogor777 2 жыл бұрын

Спасибо огромное!!

@jetbrain9115 Жыл бұрын

Молодец! Спасибо!

@user-vt4fr8pu3d Жыл бұрын

спасибо!

@denisrogov7120 9 ай бұрын

Вопрос. Что обычно кидают в тело токена? Было сказано, что в токене лучше не передавать конфиденциальную инфу. А что туда пихать? id ?)) Я вот этот момент не понял.

@phpuser3243 Жыл бұрын

Большое спасибо, относительно просто описали

@P_B_N_D 4 ай бұрын

Отличный разбор темы!👍 Спасибо!

@tymurkr 27 күн бұрын

Так и не понял, JWT используется в access/refresh токенах, или это отдельный вид?

@user-is6dr2zz5c 10 ай бұрын

Это самое понятное объяснение про JWT токены, что я встречал. Спасибо!

@romanihnatov5629 2 жыл бұрын

Спасибо, хорошо рассказал!

@MsDimons123 Жыл бұрын

Это просто клад а не видео, спасибо

@duoduoo6732 Жыл бұрын

Хорошо объяснено. А в сессиях ID сессии тоже ведь генерируется каким то шифрованием?

@xewuss3750 Жыл бұрын

В принципе, для простоты можно использовать id сессии, которая генерируется БД. Но можно и зашифровать некую строку с данными пользователя, которая и будет считатьтся идентификатором, то есть применить тот же подход, что и с токенами.

@Wivern11 3 жыл бұрын

Все хорошо, но зАголовок режет слух. ЗаголОвок, если что

@TrayHardPlay 2 жыл бұрын

Тоже резануло, меня вообще такое сильно отвлекает от просмотра

@redheroteam 2 жыл бұрын

Аксесс токен тоже режет слух :))

@Ivan-vb7ch 2 жыл бұрын

Он ж с Украины, грех жаловаться

@warcraft.mp4889 6 ай бұрын

Он с украины, скажи спасибо что он не на нахрюке говорит..

@miha704 6 ай бұрын

@@warcraft.mp4889русачок образився на мову🥹

@baldman6804 Жыл бұрын

Все хорошо, но слово зАголовок с ударением на первый слог, чуть не съело мой мозг.

@user-zh1tx9fo9h 2 жыл бұрын

Серверу нужна информация о записи текущей сессии пользователя в любом случае. В случае сессий по куки он их ищет в каком-нибудь реддисе, либо же у себя в папочке в txt документе. В случае токена, он лезет в базу, что бы найти этого пользователя и его пермишены, так что в общем то оверхеда никакого нет.

@kostyalolua9703 9 ай бұрын

не всегда, пермишены могут быть и в токене зашиты

@vtotbl 3 жыл бұрын

Классное видео. Не мог бы ты подробнее рассказать про сервис авторизации?

@micberezin 11 ай бұрын

Топ! Спасибо за разбор.

@user-cj4wm2en7m 2 жыл бұрын

Отлично спасибо

@tilekasankulov5034 3 жыл бұрын

Круто!!!

@flac1482 3 жыл бұрын

JWT имба

@gluzdovandrey 3 жыл бұрын

Пасиб

@chu6275 Жыл бұрын

спасибо дружище!

@coordinata_m Ай бұрын

Очень круто, максимально понятно, спасибо❤‍🔥

@dzianishrip5139 3 жыл бұрын

Микрофон вроде нормальный, а звук нет - зашкаливающе басит

@niki-brz 2 жыл бұрын

А что такое тогда идентификация?

@nitkin2z 3 жыл бұрын

А вы можете своих видео, показать тестовое задание, и показать его на примере на go

@romanryaboshtan9270 2 жыл бұрын

1:50 Спасибо, а я всё думал, почему тот парень 403 ошибки на фронтэнд кидал

@sergdeberzherak6264 2 жыл бұрын

Спасибо!

@shushankharatyan1660 2 жыл бұрын

Спасибо

@svyatoslavartemov3153 Жыл бұрын

Спасибо 👍

@oleksiilobodiev9446 2 жыл бұрын

Нам потрібно терміново відео по авторизаціях та ролях :)

@vonseven 5 ай бұрын

пушка 💪

@doctor6261 3 жыл бұрын

Круто...

@Ivan-vb7ch 2 жыл бұрын

🔥🔥🔥🔥🔥

@xyanmatus 2 жыл бұрын

даешь зАголовок, блеа!)

@inga153 2 жыл бұрын

спасибо

@artemiy_ 2 жыл бұрын

что мешает злоумышленнику перехватить айди сессии и заполучить доступ?

@benitozara5011 2 жыл бұрын

как говорит он, то что в куки, к тому js через xss не доберётся

@xewuss3750 Жыл бұрын

@@benitozara5011 , можно перехватить пакеты, если http.

@mike.klinko 5 ай бұрын

Дай боже тобі здоров'я, бо ніхто не міг пояснити. Красава.

@yourgachaworld4433 5 ай бұрын

в зАголовках))

@andriichekanovskyi9369 Жыл бұрын

Макс, є запитання. Сервер генерує пару токенів, refreshToken з яких зберігається в БД. В такому випадку це не означає, що сервер стає stateful? І ще одне невелике запитання. Якщо зберігати токен в http only куках, а не в local/session storage, тоді яким чином ми зможемо відправляти реквест із заголовком Authorization з клієнта? Нам ж потрібно витягнути звідкись цей токен за допомогою JS, або ж я щось не зрозумів...

@user-yx2ye9qx7i 2 жыл бұрын

Идентификация это как раз таки и есть who are you, а вот аутентификация это уже подтверждение того, что ты - это точно ты. Проще говоря, когда на сайте просят ввести логин/номер телефона/почту - это идентификация - вы ввели логин user, окей, на сайте вы будете user. Когда просят пароль - это аутентификация: вы user, окей, а докажи это, введя пароль. Если путаете понятия, просто вспомните о существовании двухфакторной аутентификация, ведь по сути это подтверждение того, что user это точно вы - вы вели логин и пароль, а сайт говорит: «Логин есть, пароль правильный, но это точно ты? Я отправил на твой телефон смс с кодом, введи его сюда».

@TheEBPO Жыл бұрын

ЗаголовОк... ))) разве нет? )) у Макса такое произношение этого слова, что я остальные его слова не слышу ))

@tamelepenergy3848 2 жыл бұрын

Видео информативное, спасибо! Но, пожалуйста, говорите слово "загoлОвок" правильно, ухо режет :)

@BoxMail-gs6fl Жыл бұрын

Самое понятное объяснение, которое я нашел. Такое впечатление, что люди выкладывают видео для того, чтобы показать какие они великие программисты. Новичкам надо рассказывать максимально просто. А синьоры это уже итак знают.

@redice8928 5 ай бұрын

А как клиент отправляет пароль и логин на сервер. Он шифруется? Если шифруется, то как передаются ключи шифрования, как это работает?

@bbnoWhat 3 ай бұрын

Http не шифрует Почитай про https

@vic_shine 3 жыл бұрын

Ещё бы живой пример каждого подхода, например, бэк на Go и форма авторизации на React - вообще было бы супер. Чувствуется какая-то недосказанность в видео.

@klim_neumann Жыл бұрын

Всё сказано абсолютно четко и понятно - где хранить и как передавать. Если кто-то хочет узнать как создавать сессии, устанавливать куки, генерировать токены и т.д, тот пойдёт и найдёт эту информацию в интернете.