Освети пожалуйста тему аутентификации и авторизации поподробнее, а то есть затыки, реализации stateless и statefull, протоколы oauth, openid и тд) думаю тема очень полезна будет) благодарствую за твои труды)
Буквально на днях меня на собеседовании в Банк просили разъяснить как работает JWT, жаль что раньше не посмотрел это видео, всё прям понятно)) спасибо большое! Полезно!
Привет. Подскажи стоит ли проходить какие-то курсы по тестированию или же все таки информации в интернете предостаточно чтобы все освоить самому? Было бы интересно узнать твое мнение по этому вопросу и мог бы рассказать какой-то актуальный roadmap в 2023 по изучению?!) Заранее благодарю )
Привет, для уровня junior информации вполне достаточно, главное поставить цель и прокачивать навыки. Хорошие курсы посоветовать не могу, не проходил их)
1.Хакер воспользовался access token'ом 2.Закончилось время жизни access token'на 3.Клиент хакера отправляет refresh token и fingerprint 4.Сервер смотрит fingerprint хакера 5.Сервер не находит fingerprint хакера в рефреш-сессии и удаляет ее из БД 6.Сервер логирует попытку несанкционированного обновления токенов 7.Сервер перенаправляет хакера на станицу логина. Хакер идет лесом 8.Юзер пробует зайти на сервер >> обнаруживается что refresh token отсутствует 9.Сервер перенаправляет юзера на форму аутентификации 10.Юзер вводит логин/пароль
Скажите, а какой смысл бэку отправлять с новым Access токеном и новый Refresh токен, в таком случае получается, что Refresh токен тоже живет 10-15 мин. Я думал, что бэк присылает только новый Access токен, а Refresh используется тот же, пока не протухнет. Можете объяснить, зачем используют такую реализацию.
Всё зависит от реализации, метод предложенный вами, тоже используется. Но надо учитывать, если токен остаётся постоянным на весь его срок действия (например, месяц), его утечка предоставляет злоумышленнику длительный доступ к системе.
JWT - это способ кодирования токенов в формате JSON. Bearer Token - это и есть сам токен, строка c добавлением приставки Bearer, которая используется для авторизации (Authorization: Bearer )
По теме JWT было бы интересно узнать варианты тестирования токенов, какие-то важные моменты - особенности.
Спасибо за Ваш труд
пушка, сейчас досмотрю видео и считай устроился на работу QA
Формат материала и его подача, равно топ )
Освети пожалуйста тему аутентификации и авторизации поподробнее, а то есть затыки, реализации stateless и statefull, протоколы oauth, openid и тд) думаю тема очень полезна будет) благодарствую за твои труды)
Отдельно спасибо за ссылки на ресурсы
полезная инфа, готов даже платить за подписку
Полезный материал
Раскрой,пожалуйста, тему подробнее. Это отличное видео
насколько подробнее, написать приложение и показать как это реализовано в коде? или с точки зрения тестирования, примеры кейсов и так далее?
1:36 кажется оговорка или я что то не понимаю, когда пользователь разлогинивается, может удаляется не userId с сервара а sessuonId?
Буквально на днях меня на собеседовании в Банк просили разъяснить как работает JWT, жаль что раньше не посмотрел это видео, всё прям понятно)) спасибо большое! Полезно!
Пожалуйста, удачи на собесах)
о, картинка уже более качественная, надеюсь в следующих видео будет не хуже, а может даже и лучше ;)
Привет. Подскажи стоит ли проходить какие-то курсы по тестированию или же все таки информации в интернете предостаточно чтобы все освоить самому?
Было бы интересно узнать твое мнение по этому вопросу и мог бы рассказать какой-то актуальный roadmap в 2023 по изучению?!) Заранее благодарю )
Привет, для уровня junior информации вполне достаточно, главное поставить цель и прокачивать навыки. Хорошие курсы посоветовать не могу, не проходил их)
не совсем понятно про момент, когда злоумышленник получил 2 токена. Почему в какой-то момент он перестает получать новый refresh токен?
1.Хакер воспользовался access token'ом
2.Закончилось время жизни access token'на
3.Клиент хакера отправляет refresh token и fingerprint
4.Сервер смотрит fingerprint хакера
5.Сервер не находит fingerprint хакера в рефреш-сессии и удаляет ее из БД
6.Сервер логирует попытку несанкционированного обновления токенов
7.Сервер перенаправляет хакера на станицу логина. Хакер идет лесом
8.Юзер пробует зайти на сервер >> обнаруживается что refresh token отсутствует
9.Сервер перенаправляет юзера на форму аутентификации
10.Юзер вводит логин/пароль
@@qa_tech Прикольно! Спасибо!
Скажите, а какой смысл бэку отправлять с новым Access токеном и новый Refresh токен, в таком случае получается, что Refresh токен тоже живет 10-15 мин. Я думал, что бэк присылает только новый Access токен, а Refresh используется тот же, пока не протухнет. Можете объяснить, зачем используют такую реализацию.
Всё зависит от реализации, метод предложенный вами, тоже используется. Но надо учитывать, если токен остаётся постоянным на весь его срок действия (например, месяц), его утечка предоставляет злоумышленнику длительный доступ к системе.
А чем отличается bearer token от jwt?
JWT - это способ кодирования токенов в формате JSON.
Bearer Token - это и есть сам токен, строка c добавлением приставки Bearer, которая используется для авторизации (Authorization: Bearer )
Скажи а где токены передаются в запросах api? Куки, хэдеры, заголовок??
Привет, токены передаются в заголовке "Authorization"
перезалив)
да, добавил конкретику про случай "что будет если злоумышленник получит доступ к токенам"