No video :(

Аутентификация. Сессии и JWT

Подписаться 2,9 тыс.

Просмотров 9 тыс.

50% 1

В этом видео мы разберем, чем аутентификация отличается от авторизации и на практике освоим 2 самых известных подхода к их имплементации.
Telegram - t.me/senior_zone
00:00 - Почему это важно понимать
01:00 - Чем авторизация отличается от аутентификации?
01:45 - Регистрация
02:05 - Аутентификация
02:34 - Авторизация
03:08 - Логинизация
03:48 - Сессии / Токены
04:05 - Сессионый подход
05:41 - Сессии: код
09:19 - Сессии: кража ID сессии
10:29 - Сессии: плюсы и минусы
11:47 - Токен подход
15:16 - Токены: код
18:47 - Токены: кража токена
21:01 - Токены: плюсы и минусы
22:07 - Что лучше?
22:57 - в следующем видео

Опубликовано:

18 авг 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 51

@Fs-xj2gu 6 месяцев назад

чувак не останавливайся, не важно с какой скоростью ты двигаешься

@bagga_lev 6 месяцев назад

Один из лучших каналов, все максимально понятно ! Большое спасибо 🙏

@TheLevius 6 месяцев назад

14:00 - ошибка. Алгоритм шифрования для JWT-токена можно выбирать HMAC, RSA, RSA-PSS, ECDSA с хеш-функцией SHA-256/384/512. Base64 - не шифрование, а формат кодирования. Формат шифрования можно не указывать в заголовках токена

@user-ks6cn7or2c 2 месяца назад

Лучшее объяснение про виды аутентификации из того, что я видел. Маленькая поправка - base64 это про кодирование, а не шифрование. То что закодировано с помощью base64 любой сможет раскодировать.

@parmetra 6 месяцев назад

Тема, которую долго ждал. Спасибо большое! Надеюсь, вы дальше будете развивать, насколько это возможно, данную тематику.

@vova_dev 23 дня назад

Вопросы, которые у меня были, здесь прекрасно освещены! С примерами. Спасибо!

@Dedmarkel 6 месяцев назад

Отличный контент, подписался. Но base64 - это способ кодирования, а не алгоритм шифрования. Внутри JWT токена действительно указывается алгорим шифрования, но сам JWT кодируется в base64.

@dw_tv3992 5 месяцев назад

да по сути неважно - один хер спи3дил токен получил доступ

@fuuuns 5 месяцев назад

Очень качественное изложение. Не все преподаватели способны так детально и интересно подать материал. Вопрос, что лучше, сессии или токен возник еще на 10 минуте. И я был счастлив, что автор этот ГЛАВНЫЙ вопрос предусмотрел. Уважение ❤

@RamaRama-qv3jo 6 месяцев назад

Супер подача материала! Жаль так редко новые темы.

@senior_zone 6 месяцев назад

Много работы сейчас. Стараюсь разгрузиться, чтобы почаще видео выпускать

@VladimirS.-sk5kh Месяц назад

Очень круто, но обещанного следующего видео нет на канале

@user-hw1ly9tj9l 6 месяцев назад

отличный контент, очень недооценен по просмотрам и подпискам. продолжай, не останавливайся, я подписался, поставил лайк и так буду делать со всеми дальнейшими видео. удачи тебе

@TesliaAnna 4 месяца назад

Пересмотрела кучу видео на эту тему. Только после этого стало понятно 👍

@Markeldo 6 месяцев назад

Отличное видео: всё по полочкам. Хоть стал понимать, что за JWT мне тут на новой работе подпихивают ))))) Спасибо. Лайк-подписка ;-)

@fank1n 6 месяцев назад

Отличный видос, отличная тематика, жду с нетерпением следующее видео на эту тему

@vestakashirets3760 5 месяцев назад

Спасибо за отличное изложение темы, четко и без лишней воды! Сразу все улеглось в голове в четкую схему 👍

@Delicatamente 5 месяцев назад

17:25 рекомендую в случае фейла авторизации запросов всё-таки использовать 403 код. 401 это для ошибки аутентификации.

@dinliri472 4 месяца назад

Красава, молодец, все понятно. Умеешь. Могёшь)))

@shittywizzard5727 6 месяцев назад

Отличный контент, хорош, давай еще!)

@andrewa2524 4 месяца назад

Супер! Локанично, с примером, всё по делу. Когда следующее видео?

@senior_zone 3 месяца назад

Скоро) Работа и жизнь последние 2 месяца встали впереди канала, но теперь скоро

@maximvoicu4155 22 дня назад

когда ждать видео по OAuth и OIDC ? тема супер интересная, особенно если сделать пример через google

@parmetra Месяц назад

Добрый день! Скажите, пожалуйста, будет ли продолжение данной серии уроков? Очень интересная тема с вашей подачей.

@Delicatamente 5 месяцев назад

21:00 я бы еще добавил, что если произойдёт утечка секрета, тогда вся система авторизации станет разоблачена, т.е. любой пользователь сможет сам клепать себе токены и сервер никак не сможет на это повлиять (unless сервер вайпнет секрет и как следствие все токены выданные до станут невалидными). В случае с сессиями, если произошла утечка конкретной сессии, то угроза значительно меньше потому что это касается только одного конкретного пользователя + как ты и сказал, её можно удалить на сервере. Спасибо за видео, очень структурирована и полезно!

@smoke2638 3 месяца назад

ты супер красавчик! Жду новых видосов.

@deanwichester6412 2 дня назад

Круто. Интересно было бы узнать, а как запрещать доступ к определенным страницам через токен .Пока только разобрался как запрещать доступ к определенным действиям, по типу получить через fetch запрос (записав в хедер токен) имена пользователей в формате json .

@user-re7hx3sq2c 6 месяцев назад

Отличная тема, жаль только за кадром остался вопрос безопасности, но наверное тогда бы ролик занял в два раза больше времени

@user-dd6pd7ji2y 6 месяцев назад

Очень хорошо обьясняешь.

@ozzzy9623 6 месяцев назад

Касаемо примера с угоном access токена и подстановку в куки вручную, это же невозможно при http only свойстве?

@dmitrym840 4 месяца назад

Спасибо большое

@AleksandrChernovIT 6 месяцев назад

Годнота!)

@deanwichester6412 2 дня назад

А где лучше хранить токен в куках или localstorage\sessionstorage?А можно хранить токен доступа в куках а токен обновления в localstorage\sessionstorage

@hachiko489 6 месяцев назад

А ты хорош )

@true227 5 дней назад

жаль нет обещанной второй части

@KostyaN698 Месяц назад

Авторизация по JWT не насколько уж и не безопасна. У JWT имеется payload, в котором находится JTI (уникальный идентификатор токена). Ничто не мешает хранить JTI в БД, после чего смотреть имеется ли данный JTI в БД.

@lanaseg_ 6 месяцев назад

🔝🔝🔝

@eugenekoiner Месяц назад

а если юзер пароль сменит, токен не инвалидируется?

@whiteltd5970 6 месяцев назад

как делать авторизацию без пароля ? именно с подтверждением емейла по коду из почты - это сейчас самый надежный вариант, но каким образом это использовать пока пытаюсь узнать

@404Negative 5 месяцев назад

если в бд миллион сессий, то достаточно её проиндексировать бинарным деревом и вуаля, проблема с сессиями решена ведь сложность бин поиска O(n) = log n. и добавлять сессии в такую бд тоже легко, потому что это бинарное дерево. остаётся только поворачивать дерево раз в час и никаких проблем с производительностью.