case ini bener2 baru berasa jika bikin app pakai cross domain. btw bener2 jelas banget.. baru paham, selama ini masih pakai md5 token via database. thanks share ilmunya
Terimakasih banyak mas Eko,, sangat bermanfaat sekali,, jadi makin jelas asumsi problem sesion management & keamanannya,, meskipun baru mau nyempung belajar PHP 😀, the real world project case problem,, membumi
Banyak ilmu yang bisa didapat dichannel ini sebagai developer apapun bahasa pemrogramannya. Terima kasih pak eko atas sharing ilmunya sangat bermanfaat. Salam programmer zaman now.
di akhir video dijelasin soal 2 hal : 1. jwt kecuri lewat XSS kecuri 2. Session_id yang disimpen di database. Saya mau tanya soal yang kedua, lalu apa bedanya kalau kita langsung nyimpen session_id, user_id, dan role tanpa jwt, jadi di cookie simpen aja session_id yang didatabase
betul tuh bang klo sessionny ngecreate file bs bkin bengkak dan timbul msalah diserver. Sy ada case jg wktu itu, session sistemny kpenuhan smpe 60GB (var/lib/php/session). Alhasil user jadi gak bs login, stelah diclear sessionny br bs login lagi. Jadi skrg mau ga mau tiap pagi hrus run cronjob buat nghpus sessionny. just sharing .. hehe. (***Bang klo bs banyakin video problem solving ky video lelang mnicooper kmrn, jd ada mslh ada solusi).. hehehe mkasih bang eko
29:30 Kapan secret key JWT nya disimpan, apakah kita harus store satu satu ke servernya? Atau jwtnya sendiri yg simpan? Dan gimana kalau sewaktu waktu kita tambah VPS? Apakah JWTnya mampu mengenali VPS baru?
mas eko sebelumnya terima kasih ilmu nya sangat bermanfaat sekali🙏🙏 saya mau tanya, yang di maksut session id di simpan di DB itu di tabel users kah? atau haru bikin tabel khusus ? dan apakah penggunaan JWT lebih baik dengan Laravel sanctum? terima kasih sebelumnya 🙏🙏
Kang eko, kalau untuk case arsitektur yg microservice, apakah solusi penambahan session_id bisa berhasil?, katakanlah ada 2 service (A & B), masing2 terdeploy pd 2 server/VPS yg berbeda, katakanlah A di GCP dan B di AWS. Ketika awal login request akan ditujukan ke A, lalu cek ke database utk username+pass, jika sesuai maka generate JWT dan simpan di cookies nya user. Kemudian dlm kondisi msh login, user mengakses service B, lalu service B mengecek hash dgn secret key yg sesuai (tentu saja service B sdh punya secret key nya pastinya, krn kan sebenarnya 1 aplikasi). Katakanlah user logout, namun JWT nya sempat dicopy oleh orang lain, dan orang lain tersebut coba login tapi langsung ke service B, bukankah tetap bisa masuk ya?krn sistemnya kan service B mengecek signature JWT yg dikirim user dengan signature hasil hashing service B terhadap header & payload JWT yg dikirim user?Bukankah hasilnya tetap sam? Apakah benar bisa tetap masuk ke service B? Kan service B tidak mengakses/tdk terhubung dgn database yg di service A?
Halo, untuk implementasi login system dengan JWT pada Laravel bagaimana ya? Apakah Laravel mempunyai library sendiri untuk consume JWT token yang dibuat dan saya masih bingung karena Laravel mempunyai middleware tersendiri untuk login yang memeriksa ke tabel users. Bagaimana penerapan login system dengan JWT? terima kasih
Pernah pakai jwt waktu pakai express js.. klo user dah ganti passwd. Token lama msh bisa login. Harus ngakali lagi di stackover flow lihat date modify di user table si.
Session id ngga perlu bang, kan jwt di generate pakai sha256, meskipun datanya sama kan hasilnya bakal beda tiap kali digenerate, jd jwtnya bisa langsung dipakai sebagai session id. Dilemanya itu soal sessionless jwt 😭
sangat bermanfaat materia nya mas eko. 5 tahun jadi web programmer php baru kali ini "ngeh" kalo session php disimpan di file yang nanti akan bermasalh saat scaling secara horizontal servernya. Saya ingin bertanya mas eko, dengan implementasi JWT ini, berarti kita perlu membuat secret key yang berbeda jika ada 5 website lain yang kita handle. nah untuk istilah "menyimpan secret key diserver" ini apakah hanya dengan menyimpan secara variabel di file web php nya sprti yang mas eko tunjukkan ?
Untuk penggunakan JWT ketika menambahkan session_id berarti setiap login akan digenerate ulang ya & ketika mengklik action lain setelah login maka selalu mengecek session_id ke db kah ? Terus jika ada tambahan session_id kalo usernya gk logout, kan session_id nya gk terhapus, apakah masih bisa ditembak oleh user nakal ?
Kalau pake sessionnhandler gimana mas ? saya lihat di cms juga pake semacam session handler, contohnya drupal juga punya session handler yang menyimpannya di tbl session ?
@@ProgrammerZamanNow iya saya juga liat di video mas menuliskan soal itu, jadi kalau mas berkenan buat tutorial metodenya seperti apa, saya juga udah belajar pake semacam object interface sessionhandler interface dari laman resmi php, cuma ada beberapa hal yg belum saya mengerti seperti kapan gc dieksekusi dan seperti apa, terus kenapa di tabl session cms ada yng melakukan serialized, karena jujur saya gak nemuin tutorial bahasa indonesianya, rata2 manajemen session pake session bawaan php tutorialnya, ini sebenernya bkn masalah saya aja, tapi mngkin programmer2 lainnya yg belajar otodidak rata2 seperti yg mas jelaskan di video itu pake manajemen sessionya php, ini berdasarkan pencarian saya saja sih, saya liat tutorialnya semua jelasin session bawaan php, gak ada tambahan soal manajeen session pake metode lain yg tutorialnya bernahasa indonesia, makanya saya resah saja dan kesulitan dalam best pratice bagaimana penulisan yg benar nantinya. Terima kasih..
Hallo bang saya bekerja di perusahaan sudah 4 tahun teknologinya masih menggunakan teknologi lama yaitu delphi.. ketika saya mau keluar dari perusahaan tersebut dan mencari pekerjaan lain saya melihat sudah sangat susah sekali untuk mencari pekerjaan dengan teknologi stack yang saya punya sekarang.. apakah solusinya saya harus mengikuti bootcamp untuk ini bang?
JWT dgn PHP dgn http-only untuk memastikan dia bekerja dgn baik, tdk mudah tercuri, bgmn yach ?? Minta referensi nya untuk cek JWT dgn PHP dgn http-only bekerja dgn baik dan sesuai ,, Thx
#ask kak eko mau nanya soal cookie yg dikirim otomatis selama permintaan (client-server), apakah ini kemungkinan dpt mengalami serangan CSRF (web attacker) ? dan klo bener apaa ada solusinyaa? makasih kak eko..
2 tahun ngoding php, baru tau session php punya masalah sprti ini, tp so far saya pakai 1 vm. thankyou mas eko materinya sangat daging sekali 😅
Sama broo ane juga baru tau, soalnya belum pernah nyoba pemakaian 2 vm 😀, ok lahh ngelmu lagi, makasih mas eko ilmu nyaa 😀
Sma.. aku pakai 1vm buat client.. klo server down ya gw bilang down wkwkwk
case ini bener2 baru berasa jika bikin app pakai cross domain. btw bener2 jelas banget.. baru paham, selama ini masih pakai md5 token via database. thanks share ilmunya
Keren banget materinya,, selalu ada solusi,, terimakasih mas Eko,,
hahahaha gw baru tahu cara kerja php session, astaga selama ini ngga ngeh......ilmu daging nih, makasih suhu
Terimakasih banyak mas Eko,, sangat bermanfaat sekali,, jadi makin jelas asumsi problem sesion management & keamanannya,, meskipun baru mau nyempung belajar PHP 😀, the real world project case problem,, membumi
Banyak ilmu yang bisa didapat dichannel ini sebagai developer apapun bahasa pemrogramannya. Terima kasih pak eko atas sharing ilmunya sangat bermanfaat. Salam programmer zaman now.
terimakasih mas eko, ilmu yang bermanfaat sekali pasti bermanfaat
makasi pak. ini baru ketemu belajar backe end yg bagus. lengkap dengan analiticnya
di akhir video dijelasin soal 2 hal : 1. jwt kecuri lewat XSS kecuri 2. Session_id yang disimpen di database. Saya mau tanya soal yang kedua, lalu apa bedanya kalau kita langsung nyimpen session_id, user_id, dan role tanpa jwt, jadi di cookie simpen aja session_id yang didatabase
Masalah PHP session management is real, terjadi di project kantor. Saya terapkan solusi 1 yaitu menggunakan redis. Mantaps kang Eko
Wah mantap, kalau ada video masukin session ke DB mantap lagi nih
Mas bahas security layer di JWT dong, dari prevent XSS, secure header dan prevent stolen token!
wajib di up nih.. sama penasaran gimana ngamain dari xss
Up mas eko
Benar mas. Selain http only apa lagi, trus TTL token dll. Semoga di kabulkan 🤝
akhir nya setelah 3 tahun. aku nonton balik tutorial ini
masuk pak eko!! keren ilmu nya sangat bermanfaat
Mantap materinya
mantaf kang eko.. semangat semangat..
ilmunya daging banget mas eko. mantap
saran upload dijam2 abis buka bang. perut dah kenyang pasti mantep nerima ilmunya.
Masuk pak Eko...
Mantab om
Mantappp pinter banget
betul tuh bang klo sessionny ngecreate file bs bkin bengkak dan timbul msalah diserver. Sy ada case jg wktu itu, session sistemny kpenuhan smpe 60GB (var/lib/php/session). Alhasil user jadi gak bs login, stelah diclear sessionny br bs login lagi. Jadi skrg mau ga mau tiap pagi hrus run cronjob buat nghpus sessionny. just sharing .. hehe.
(***Bang klo bs banyakin video problem solving ky video lelang mnicooper kmrn, jd ada mslh ada solusi).. hehehe mkasih bang eko
Wehe, layout baru,
dah kayak utuber2 pada umumnya, hehe 😁
biar zaman now banget
makasih ilmunya mas..
ilmu anda berkah mas eko
terima kasih ilmunya mas eko
Tambah keren pak
Ntapz
ruang kerja/rekamannya keren banget sekarang
nuhun a eko bermanfaat bgt ,
salam dari subang :D
Mantap mas Eko
Keren pak, ikutan belajar ya🙂
insightful
Mantap mas Eko terimakasih
makasih pak ilmunya,sehat selalu
Setupnya makin bagus aja
set up nya luar biasa pak
sengaja, buat pencitraan, haha
Pak eko request tutorial flutter di android studio dong
S7 ...
Cari Channel Erico...
Disitu banyak tutor tentang dart & flutter...
Kayanya sulit buat pak Eko nyaingin pak Erico...
next, load balancer untuk pemula nya pak
klo saya biasanya pke database mas untuk sessionnya,,jadi g masalah byk server vps..tpi tq dah, infonya untuk jwt
Bikin tutor soal SSO dong mas.
Ngomong-ngomong soal ngobar (ngoding bareng) gimana kalau Pak Eko buat aplikasi opensource bareng temen-temen disini??sepertinya akan asik. hehe
sangat setuju,, 😃
Boleh dong mas sekalian live, biar ada pertanyaan dari live chatnya
Studio tour boleh nih mas Eko
Mantul
thanks mas.....
keren bang sekrang set upnya
50:00 kalau kita tidak logout, orang lain masih bisa login...
harus kita simpan jg jenis browser dan perangkatnya
29:30 Kapan secret key JWT nya disimpan, apakah kita harus store satu satu ke servernya?
Atau jwtnya sendiri yg simpan?
Dan gimana kalau sewaktu waktu kita tambah VPS?
Apakah JWTnya mampu mengenali VPS baru?
simpan di env
Mantap!!!
wih glowwing bro pake web cam baru ni
sebelumnya juga udah glowing, eh
23:50 izin koreksi, yang dicompare itu signaturenya, bukan hasil encode. Hasil encode berubah nggak masalah selama signaturenya benar.
benar
Izin tanya, apakah ketika payloadnya kita ganti manual, signature nya juga akan berubah? Nuhun
@@randyap25 enggak akan berubah otomatis, harus di generate ulang signature nya
@@ProgrammerZamanNow hatur nuhun, Kang. Sudah paham sekarang.
@@randyap25 dan untuk generate ulang signature user harus tau secret key yang disimpan di server.
Wkkwkw baru tau ada JWT 😂, saya malah bikin manual. Kurang lebih sama ama JWT
keren pak :)
pernah mengalami ketika diminta deploy app enterprise akhirnya pakai redis untuk session manager php 😅
mas eko sebelumnya terima kasih ilmu nya sangat bermanfaat sekali🙏🙏
saya mau tanya, yang di maksut session id di simpan di DB itu di tabel users kah? atau haru bikin tabel khusus ?
dan apakah penggunaan JWT lebih baik dengan Laravel sanctum?
terima kasih sebelumnya 🙏🙏
maksudnya kalau simpan sesion id di DB, ketka tiap kali request data, verify JWT dari client sekalian cek juga session ID di DB?
banyakin konten ngobar kayak gini mas eko
siap
Kang eko, kalau untuk case arsitektur yg microservice, apakah solusi penambahan session_id bisa berhasil?, katakanlah ada 2 service (A & B), masing2 terdeploy pd 2 server/VPS yg berbeda, katakanlah A di GCP dan B di AWS. Ketika awal login request akan ditujukan ke A, lalu cek ke database utk username+pass, jika sesuai maka generate JWT dan simpan di cookies nya user. Kemudian dlm kondisi msh login, user mengakses service B, lalu service B mengecek hash dgn secret key yg sesuai (tentu saja service B sdh punya secret key nya pastinya, krn kan sebenarnya 1 aplikasi). Katakanlah user logout, namun JWT nya sempat dicopy oleh orang lain, dan orang lain tersebut coba login tapi langsung ke service B, bukankah tetap bisa masuk ya?krn sistemnya kan service B mengecek signature JWT yg dikirim user dengan signature hasil hashing service B terhadap header & payload JWT yg dikirim user?Bukankah hasilnya tetap sam? Apakah benar bisa tetap masuk ke service B? Kan service B tidak mengakses/tdk terhubung dgn database yg di service A?
Ini jaman 2015 yg ane alamin pas bikin season buat project forum. Banyak yg kendala kok harus login ulang tiap request
Sip
Jwt pakek golang pak 🔥🔥🔥🔥
request implementasiin Oauth2 dong mas sama php :D
Halo, untuk implementasi login system dengan JWT pada Laravel bagaimana ya? Apakah Laravel mempunyai library sendiri untuk consume JWT token yang dibuat dan saya masih bingung karena Laravel mempunyai middleware tersendiri untuk login yang memeriksa ke tabel users. Bagaimana penerapan login system dengan JWT? terima kasih
untuk pakai share hosting 1 vm aman ya bang. jika pakai aws load balance maksudnya masalahnya disitu enak pake jwt
itu kalau payload nya disimpen ke session() lagi apa gak disimpan di file lagi mas?
Tambahkan func isset -> isset($_SESSION['username'])) , untuk memastikan/ mengecek variable terdeklarasi
Pernah pakai jwt waktu pakai express js.. klo user dah ganti passwd. Token lama msh bisa login. Harus ngakali lagi di stackover flow lihat date modify di user table si.
Pakai refresh Token
pak klo payload nya sy encrypt di server gmn, pke mcrypt atau openssl misalnya, jadi payload nya kita enkripsi dulu sblm di store ke jwt.
untuk tinggat keamanan php session masih bagus gak bang
ciee setup baru nihh kamar nya?/
iya donk
Session id ngga perlu bang, kan jwt di generate pakai sha256, meskipun datanya sama kan hasilnya bakal beda tiap kali digenerate, jd jwtnya bisa langsung dipakai sebagai session id. Dilemanya itu soal sessionless jwt 😭
Isi expired timestamp aja di jwt nya, kalo melebihi expired reject kalo mau sessionless.
yang betul mas ?
Seriusan hasil sha256 bsa beda2 walau input sama? Teori siapa itu?
tapi secret key nya bukannya bisa di brute force secara offline?
Kang kalau mau tanya², gimana nih, niat sih pengen ikut belajar syarat² nya aja gitu. Tkb atas respon dan sarannya.
Pak eko, java session management juga dong
sangat bermanfaat materia nya mas eko. 5 tahun jadi web programmer php baru kali ini "ngeh" kalo session php disimpan di file yang nanti akan bermasalh saat scaling secara horizontal servernya. Saya ingin bertanya mas eko, dengan implementasi JWT ini, berarti kita perlu membuat secret key yang berbeda jika ada 5 website lain yang kita handle. nah untuk istilah "menyimpan secret key diserver" ini apakah hanya dengan menyimpan secara variabel di file web php nya sprti yang mas eko tunjukkan ?
Bang maaf mau nanya, kenapa yah session kadang suka ga kebaca ?
request dong vanila JS tapi bisa bikin buat web, android , sama ios
Bahas authentication rest api di ci bang
Like2
Untuk penggunakan JWT ketika menambahkan session_id berarti setiap login akan digenerate ulang ya & ketika mengklik action lain setelah login maka selalu mengecek session_id ke db kah ?
Terus jika ada tambahan session_id kalo usernya gk logout, kan session_id nya gk terhapus, apakah masih bisa ditembak oleh user nakal ?
Klo user gak logout masih bisa itu. Klo konsepnya spt itu. Di tambah id perangkat si harusnya
kamere baru, lebih mantep 👍, phew 😅
Kalau pake sessionnhandler gimana mas ? saya lihat di cms juga pake semacam session handler, contohnya drupal juga punya session handler yang menyimpannya di tbl session ?
Iya, bisa, seperti saya jelasin di video, ada banyak caranya, bisa ke db juga
@@ProgrammerZamanNow iya saya juga liat di video mas menuliskan soal itu, jadi kalau mas berkenan buat tutorial metodenya seperti apa, saya juga udah belajar pake semacam object interface sessionhandler interface dari laman resmi php, cuma ada beberapa hal yg belum saya mengerti seperti kapan gc dieksekusi dan seperti apa, terus kenapa di tabl session cms ada yng melakukan serialized, karena jujur saya gak nemuin tutorial bahasa indonesianya, rata2 manajemen session pake session bawaan php tutorialnya, ini sebenernya bkn masalah saya aja, tapi mngkin programmer2 lainnya yg belajar otodidak rata2 seperti yg mas jelaskan di video itu pake manajemen sessionya php, ini berdasarkan pencarian saya saja sih, saya liat tutorialnya semua jelasin session bawaan php, gak ada tambahan soal manajeen session pake metode lain yg tutorialnya bernahasa indonesia, makanya saya resah saja dan kesulitan dalam best pratice bagaimana penulisan yg benar nantinya.
Terima kasih..
Hallo bang saya bekerja di perusahaan sudah 4 tahun teknologinya masih menggunakan teknologi lama yaitu delphi.. ketika saya mau keluar dari perusahaan tersebut dan mencari pekerjaan lain saya melihat sudah sangat susah sekali untuk mencari pekerjaan dengan teknologi stack yang saya punya sekarang.. apakah solusinya saya harus mengikuti bootcamp untuk ini bang?
belajar dulu aja, bisa web atau mobile atau backend
anak IT harus uptodate bro,
Bang tanya dong ..
Utk prevent multi login pakai jwt gmna ya?
Sample case nya jwt di share dgn sengaja.
Tengkyuuu
Apa selalu update session_id setiap berhasil validasi dan di simpan di db?
Tapi kasian db nya bisa ko kalo semisal usernya banyak wkwkw karna update realtime😂🤣
Mohon solusi nya bang
#Daging A5 Pak Eko
Request yang pke Oauth2 dengan PHP pak
ini untuk yang pake aws auto scaling
Request tutorial gRPC pak
Tumben mas udah pake greenscreen, jadi bagus backgroundnya 😃
ahahaa, sa ae
JWT dgn PHP dgn http-only untuk memastikan dia bekerja dgn baik, tdk mudah tercuri, bgmn yach ?? Minta referensi nya untuk cek JWT dgn PHP dgn http-only bekerja dgn baik dan sesuai ,, Thx
bang. Q&A lagi
#ask
kak eko mau nanya soal cookie yg dikirim otomatis selama permintaan (client-server), apakah ini kemungkinan dpt mengalami serangan CSRF (web attacker) ? dan klo bener apaa ada solusinyaa?
makasih kak eko..
waktunya rombak2 lagi dah wkwk
Suwun master suhu Eko.. Kamsia
wajahnya kek pamungkas mas hhe
pak apakah jwt ini bisa digunakan untuk SSO ?
Request buat Oauth2 atau bearer token
mas eko, posisi load balance nya beda node sama aplikasi a sama b nya ya?
pak dosen request PWA dong
Mas eko, saran dong buat nyimpan secret key bagusnya dimana apakah di hardcode koding atau di database ?
environment variable
@@asditaprasetya nah itu di file .env atau setting2 di terminal ya mas
bang bahas sessioan management laravel dong