Аутентификация в Веб-Приложениях 👨‍💻JWT и Сессии

День тому

Roadmap по каналу - bit.ly/3yKtxWf
Курс GOLANG NINJA - bit.ly/3F8hvZW
Получи бесплатный Roadmap для Backend разработчика -
Таймкоды:
00:00 - Авторизация vs Аутентификация
02:22 - Сессии
05:37 - HTTP cookie
08:54 - Токены
15:45 - JWT
21:40 - Сессии vs Токены
#программирование #разработка #web #it #frontend #backend

КОМЕНТАРІ: 93

@alexrybalov8917 3 роки тому

Очень сложная и тяжелая для восприятия информация, поданая очень простым языком. Спасибо Макс.

@fairy-tale-composer 2 роки тому

Огромное спасибо! Видео - кладезь информации, объяснения понятны даже фронтендеру :D

@zak_47 3 роки тому

Очень нравится твой канал! Продолжай в том же духе! И помни "много уроков не бывает" =)

@TheEBPO Рік тому

Было очень ползено! Спасибо за труд!

@user-xg9wt3he9q 3 роки тому

Полезная инфа, продолжайте в том же духе👍

@olexisme 3 роки тому

Огромное спасибо за видео:)

@user-is6dr2zz5c 9 місяців тому

Это самое понятное объяснение про JWT токены, что я встречал. Спасибо!

@ileatvazazelpro316 Рік тому

Спасибо огромное за такое простое объяснение!

@kirillshchur2697 Рік тому

Спасибо тебе! Очень доступно объясняешь!

@coordinata_m 21 день тому

Очень круто, максимально понятно, спасибо❤‍🔥

@themichael8767 Рік тому

Спасибо Вам большое 🤍

@mikhail3374 Рік тому

Спасибо, очень познавательно! Респект!

@dinaraskripnik7913 4 місяці тому

Максим, спасибо за труд, за прекрасную, лаконичную, понятную и структурированную подачу материала. Захотелось посмотреть остальные видео с Вашего канала.

@ediego_64 Рік тому

Отличное видео, хорошая структура подачи материала! Успехов!

@P_B_N_D 3 місяці тому

Отличный разбор темы!👍 Спасибо!

@phpuser3243 11 місяців тому

Большое спасибо, относительно просто описали

@MsDimons123 11 місяців тому

Это просто клад а не видео, спасибо

@svetogor777 2 роки тому

Спасибо огромное!!

@alexrybalov8917 3 роки тому

Прекрасно объяснил.

@jetbrain9115 Рік тому

Молодец! Спасибо!

@cronosnoname4038 3 роки тому

Огонь, прям разжевал и в рот положил ! Спасибо за видео очень понятно и информативно :-)

@fb2312 Рік тому

Спасибо! Ты понятно объяснил и очень помог

@MaksimZhashkevych Рік тому

🙌🏻

@micberezin 9 місяців тому

Топ! Спасибо за разбор.

@nikenuke 8 місяців тому

спасибо!

@chu6275 Рік тому

спасибо дружище!

@tilekasankulov5034 3 роки тому

Круто!!!

@user-cj4wm2en7m 2 роки тому

Отлично спасибо

@svyatoslavartemov3153 Рік тому

Спасибо 👍

@sergdeberzherak6264 2 роки тому

Спасибо!

@Wivern11 3 роки тому

Все хорошо, но зАголовок режет слух. ЗаголОвок, если что

@TrayHardPlay 2 роки тому

Тоже резануло, меня вообще такое сильно отвлекает от просмотра

@redheroteam 2 роки тому

Аксесс токен тоже режет слух :))

@Ivan-vb7ch 2 роки тому

Он ж с Украины, грех жаловаться

@warcraft.mp4889 5 місяців тому

Он с украины, скажи спасибо что он не на нахрюке говорит..

@miha704 4 місяці тому

@@warcraft.mp4889русачок образився на мову🥹

@Alexander-lp2qy 3 роки тому

1. Сервер не имеет контроля над токенами - принудительное разлогирование можно реализовать без blacklist/whitelist, если подписывать токены секретным ключом + "соль" (уникальная для юзера). При изменении "соли" токен перестанет быть валидным для этого пользователя. 2. Токены можно использовать на разных доменах - в случае с Http only cookie похоже нельзя. 3. Защита от угона токена - в токене можно хранить дату, до которого он валиден, и fingerprint пользователя (ip, user-agent и тп).

@theban2517 2 роки тому

Соль в данном случае как раз будет неявной реализацией black/white list, а сама архитектура stateful

@shushankharatyan1660 2 роки тому

Спасибо

@vtotbl 3 роки тому

Классное видео. Не мог бы ты подробнее рассказать про сервис авторизации?

@vonseven 4 місяці тому

пушка 💪

@romanihnatov5629 2 роки тому

Спасибо, хорошо рассказал!

@doctor6261 3 роки тому

Круто...

@inga153 Рік тому

спасибо

@mrhell2863 3 роки тому

Как будет время, разбери пожалуйста на примерах, как правильно организовать роли и права и что используют обычно, casbin или самому можно написать реализацию. Желательно не только админ, гость, пользователь а более кастомные с назначением прав и тд.

@zak_47 3 роки тому

да, норм тема, было бы интересно

@Ivan-vb7ch 2 роки тому

🔥🔥🔥🔥🔥

@gluzdovandrey 3 роки тому

Пасиб

@BoxMail-gs6fl Рік тому

Самое понятное объяснение, которое я нашел. Такое впечатление, что люди выкладывают видео для того, чтобы показать какие они великие программисты. Новичкам надо рассказывать максимально просто. А синьоры это уже итак знают.

@mike.klinko 4 місяці тому

Дай боже тобі здоров'я, бо ніхто не міг пояснити. Красава.

@denisrogov7120 8 місяців тому

Вопрос. Что обычно кидают в тело токена? Было сказано, что в токене лучше не передавать конфиденциальную инфу. А что туда пихать? id ?)) Я вот этот момент не понял.

@flac1482 3 роки тому

JWT имба

@nitkin2z 3 роки тому

А вы можете своих видео, показать тестовое задание, и показать его на примере на go

@duoduoo6732 Рік тому

Хорошо объяснено. А в сессиях ID сессии тоже ведь генерируется каким то шифрованием?

@xewuss3750 Рік тому

В принципе, для простоты можно использовать id сессии, которая генерируется БД. Но можно и зашифровать некую строку с данными пользователя, которая и будет считатьтся идентификатором, то есть применить тот же подход, что и с токенами.

@user-zh1tx9fo9h 2 роки тому

Серверу нужна информация о записи текущей сессии пользователя в любом случае. В случае сессий по куки он их ищет в каком-нибудь реддисе, либо же у себя в папочке в txt документе. В случае токена, он лезет в базу, что бы найти этого пользователя и его пермишены, так что в общем то оверхеда никакого нет.

@kostyalolua9703 8 місяців тому

не всегда, пермишены могут быть и в токене зашиты

@baldman6804 Рік тому

Все хорошо, но слово зАголовок с ударением на первый слог, чуть не съело мой мозг.

@niki-brz 2 роки тому

А что такое тогда идентификация?

@romanryaboshtan9270 2 роки тому

1:50 Спасибо, а я всё думал, почему тот парень 403 ошибки на фронтэнд кидал

@oleksiilobodiev9446 2 роки тому

Нам потрібно терміново відео по авторизаціях та ролях :)

@dzianishrip5139 3 роки тому

Микрофон вроде нормальный, а звук нет - зашкаливающе басит

@yourgachaworld4433 4 місяці тому

в зАголовках))

@user-yx2ye9qx7i 2 роки тому

Идентификация это как раз таки и есть who are you, а вот аутентификация это уже подтверждение того, что ты - это точно ты. Проще говоря, когда на сайте просят ввести логин/номер телефона/почту - это идентификация - вы ввели логин user, окей, на сайте вы будете user. Когда просят пароль - это аутентификация: вы user, окей, а докажи это, введя пароль. Если путаете понятия, просто вспомните о существовании двухфакторной аутентификация, ведь по сути это подтверждение того, что user это точно вы - вы вели логин и пароль, а сайт говорит: «Логин есть, пароль правильный, но это точно ты? Я отправил на твой телефон смс с кодом, введи его сюда».

@xyanmatus 2 роки тому

даешь зАголовок, блеа!)

@artemiy_ 2 роки тому

что мешает злоумышленнику перехватить айди сессии и заполучить доступ?

@benitozara5011 2 роки тому

как говорит он, то что в куки, к тому js через xss не доберётся

@xewuss3750 Рік тому

@@benitozara5011 , можно перехватить пакеты, если http.

@andriichekanovskyi9369 Рік тому

Макс, є запитання. Сервер генерує пару токенів, refreshToken з яких зберігається в БД. В такому випадку це не означає, що сервер стає stateful? І ще одне невелике запитання. Якщо зберігати токен в http only куках, а не в local/session storage, тоді яким чином ми зможемо відправляти реквест із заголовком Authorization з клієнта? Нам ж потрібно витягнути звідкись цей токен за допомогою JS, або ж я щось не зрозумів...

@tamelepenergy3848 2 роки тому

Видео информативное, спасибо! Но, пожалуйста, говорите слово "загoлОвок" правильно, ухо режет :)

@TheEBPO Рік тому

ЗаголовОк... ))) разве нет? )) у Макса такое произношение этого слова, что я остальные его слова не слышу ))

@vic_shine 3 роки тому

Ещё бы живой пример каждого подхода, например, бэк на Go и форма авторизации на React - вообще было бы супер. Чувствуется какая-то недосказанность в видео.

@klim_neumann Рік тому

Всё сказано абсолютно четко и понятно - где хранить и как передавать. Если кто-то хочет узнать как создавать сессии, устанавливать куки, генерировать токены и т.д, тот пойдёт и найдёт эту информацию в интернете.