Аутентификация. Сессии и JWT
Переглядів 4,231
День томуВ этом видео мы разберем, чем аутентификация отличается от авторизации и на практике освоим 2 самых известных подхода к их имплементации.
Telegram - t.me/snr_fullstack
00:00 - Почему это важно понимать
01:00 - Чем авторизация отличается от аутентификации?
01:45 - Регистрация
02:05 - Аутентификация
02:34 - Авторизация
03:08 - Логинизация
03:48 - Сессии / Токены
04:05 - Сессионый подход
05:41 - Сессии: код
09:19 - Сессии: кража ID сессии
10:29 - Сессии: плюсы и минусы
11:47 - Токен подход
15:16 - Токены: код
18:47 - Токены: кража токена
21:01 - Токены: плюсы и минусы
22:07 - Что лучше?
22:57 - в следующем видео
@Fs-xj2gu 3 місяці тому
чувак не останавливайся, не важно с какой скоростью ты двигаешься
@smoke2638 18 днів тому
ты супер красавчик! Жду новых видосов.
@bagga_lev 3 місяці тому
Один из лучших каналов, все максимально понятно ! Большое спасибо 🙏
@annateslia1881 Місяць тому
Пересмотрела кучу видео на эту тему. Только после этого стало понятно 👍
@parmetra 3 місяці тому
Тема, которую долго ждал. Спасибо большое! Надеюсь, вы дальше будете развивать, насколько это возможно, данную тематику.
@vestakashirets3760 Місяць тому
Спасибо за отличное изложение темы, четко и без лишней воды! Сразу все улеглось в голове в четкую схему 👍
@dmitrym840 Місяць тому
Спасибо большое
@Markeldo 3 місяці тому
Отличное видео: всё по полочкам. Хоть стал понимать, что за JWT мне тут на новой работе подпихивают ))))) Спасибо. Лайк-подписка ;-)
@fank1n 3 місяці тому
Отличный видос, отличная тематика, жду с нетерпением следующее видео на эту тему
@user-hw1ly9tj9l 3 місяці тому
отличный контент, очень недооценен по просмотрам и подпискам. продолжай, не останавливайся, я подписался, поставил лайк и так буду делать со всеми дальнейшими видео. удачи тебе
@Delicatamente Місяць тому
21:00 я бы еще добавил, что если произойдёт утечка секрета, тогда вся система авторизации станет разоблачена, т.е. любой пользователь сможет сам клепать себе токены и сервер никак не сможет на это повлиять (unless сервер вайпнет секрет и как следствие все токены выданные до станут невалидными). В случае с сессиями, если произошла утечка конкретной сессии, то угроза значительно меньше потому что это касается только одного конкретного пользователя + как ты и сказал, её можно удалить на сервере. Спасибо за видео, очень структурирована и полезно!
@fuuuns 2 місяці тому
Очень качественное изложение. Не все преподаватели способны так детально и интересно подать материал. Вопрос, что лучше, сессии или токен возник еще на 10 минуте. И я был счастлив, что автор этот ГЛАВНЫЙ вопрос предусмотрел. Уважение ❤
@TheLevius 2 місяці тому
14:00 - ошибка. Алгоритм шифрования для JWT-токена можно выбирать HMAC, RSA, RSA-PSS, ECDSA с хеш-функцией SHA-256/384/512. Base64 - не шифрование, а формат кодирования. Формат шифрования можно не указывать в заголовках токена
@dinliri472 Місяць тому
Красава, молодец, все понятно. Умеешь. Могёшь)))
@andrewa2524 21 день тому
Супер! Локанично, с примером, всё по делу. Когда следующее видео?
@senior.frontend 15 днів тому
Скоро) Работа и жизнь последние 2 месяца встали впереди канала, но теперь скоро
@RamaRama-qv3jo 2 місяці тому
Супер подача материала! Жаль так редко новые темы.
@senior.frontend 2 місяці тому
Много работы сейчас. Стараюсь разгрузиться, чтобы почаще видео выпускать
@Dedmarkel 3 місяці тому
Отличный контент, подписался. Но base64 - это способ кодирования, а не алгоритм шифрования. Внутри JWT токена действительно указывается алгорим шифрования, но сам JWT кодируется в base64.
@dw_tv3992 Місяць тому
да по сути неважно - один хер спи3дил токен получил доступ
@shittywizzard5727 3 місяці тому
Отличный контент, хорош, давай еще!)
@ozzzy9623 3 місяці тому
Касаемо примера с угоном access токена и подстановку в куки вручную, это же невозможно при http only свойстве?
@user-dd6pd7ji2y 3 місяці тому
Очень хорошо обьясняешь.
@Delicatamente Місяць тому
17:25 рекомендую в случае фейла авторизации запросов всё-таки использовать 403 код. 401 это для ошибки аутентификации.
@AleksandrChernovIT 3 місяці тому
Годнота!)
@user-re7hx3sq2c 3 місяці тому
Отличная тема, жаль только за кадром остался вопрос безопасности, но наверное тогда бы ролик занял в два раза больше времени
@hachiko489 3 місяці тому
А ты хорош )
@lanaseg_ 3 місяці тому
🔝🔝🔝
@whiteltd5970 2 місяці тому
как делать авторизацию без пароля ? именно с подтверждением емейла по коду из почты - это сейчас самый надежный вариант, но каким образом это использовать пока пытаюсь узнать
@whiteltd5970 2 місяці тому
жаль что реализация не на nest js
@404Negative Місяць тому
и когда же новое видео ?? о_О
@404Negative 2 місяці тому
если в бд миллион сессий, то достаточно её проиндексировать бинарным деревом и вуаля, проблема с сессиями решена ведь сложность бин поиска O(n) = log n. и добавлять сессии в такую бд тоже легко, потому что это бинарное дерево. остаётся только поворачивать дерево раз в час и никаких проблем с производительностью.
@coryphoenixxx8238 Місяць тому
Нифига ты. Не пробовал устроиться в Reddit?
@404Negative Місяць тому
@@coryphoenixxx8238 что не так ?
@vladimircreator 22 дні тому
А разве проблема именно в этом? Проблема ведь в памяти. Столько сессий хранить.
@404Negative 22 дні тому
@@vladimircreator хранить миллиард сессий стоит копейки
@vladimircreator 22 дні тому
@@404Negative я и не спорю. Просто речь не о производительности шла же
@DoSmth 3 місяці тому
а почему только 720р?
@senior.frontend 3 місяці тому
Факап во время записи
David Dobryakov
Переглядів 64 тис.
Winderton
Переглядів 110 тис.
Full Stack JWT Авторизация - Создаем Приложение | Access, Refresh | React, Node, Express, JavaScript
sentiero
Переглядів 12 тис.