A melhor forma de salvar o JWT no front-end (sem localstorage)

Подписаться 371 тыс.

Просмотров 36 тыс.

50% 1

Conecte-se a 500mil devs e avance para o próximo nível com a nossa plataforma: rocketseat.com...
Cadastre-se na nossa plataforma: app.rocketseat...
Junte-se a mais de 392mil devs em nossa comunidade no Discord: / discord
Acompanhe a Rocketseat nas redes sociais:
Twitter: @rocketseat
Facebook: @rocketseat
Instagram: @rocketseat

Опубликовано:

4 окт 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 81

@williamroger9375 9 месяцев назад

Muito bom esse novo formato de vídeos rápidos, mas não tão rápidos assim! Conteúdo sensacional, valeu Rocket!

@douglasneves4804 9 месяцев назад

Boa tarde, uma sugestão seria algum vídeo com jwt token e refresh token, onde armazena o refresh-token, com exemplo de utilização na prática.

@edu_amr 9 месяцев назад

Acho que um video de autenticação/autorização em si, junto com axios e os interceptors... seria interessante.

@me.dwesley 9 месяцев назад

@@edu_amr Já existe. É só procurar "refresh token rocketseat daniele leao"

@leonardoreis674 9 месяцев назад

Concordo seria bem legal

@zevdvlpr 9 месяцев назад

@imartytk 9 месяцев назад

Esse eh um trabalho pro devdoido 😂

@noowz 9 месяцев назад

Interessante esse formato de video curto explicando certas coisas, curti.

@wollyverkk2263 9 месяцев назад

conteudo completo sobre autenticação e controle de acesso com nextjs seria perfeito.

@mrflacks2243 8 месяцев назад

ele pode até fazer mas vai fazer com biblioteca atrás de biblioteca, ele não sabe fazer de forma resumida e sim usando lib como bengala e no final nem ele mesmo sabe o que fazer da lib

@darlleybrito4198 7 месяцев назад

@@mrflacks2243 Que isso jovem kk tem algum artigo pra indicar aí? Sem zuera tô precisando

@ClashRoyale-pt9zj 9 месяцев назад

Um vídeo aprofundado sobre autenticação/autorização envolvendo JWT/cookies seria massa

@dieegosf 9 месяцев назад

Já tem alguns guias completos aqui no RU-vid de autenticação com React e Node, inclusive no Next.js, basta dar uma procuradinha :)

@alexandrejosevieiramuniz4114 9 месяцев назад

Excelente explicação e bem objetivado. Parabéns pela didática e dinamica de apresentação

@PedrotMX 6 месяцев назад

Caraca, é isso q eu precisava, thank y

@carlosceagah 9 месяцев назад

Não sei se é a mesma live, mas o KolossoBR quer muito saber se vai ter trilha de games kkkkkk terceira vez que eu vejo um vídeo do Diego, e esse cara tá falando isso kkkkk

@leandromoraes1862 9 месяцев назад

No mobile, teria uma estratégia semelhante, ou outra estratégia que você refomendaria?

@antoniothomacelli 9 месяцев назад

Obrigado por compartilhar

@xbozo. 9 месяцев назад

quando vai sair esse projeto no ignite?

@Öyster_Boy 9 месяцев назад

Ainda não vi o vídeo, mas presumo "Cookies".

@dhssaouda 9 месяцев назад

Nesse formato de armazenamento do token de acesso você fica vulnerável contra csrf. Você está se protegento contra esse ataque?

@PelpsRoxXx 9 месяцев назад

Ele salva o cookie pro domínio da aplicação. Não sei se é isso a que vc se refere ao citar csrf como vulnerabilidade.

@gbalestrin9 9 месяцев назад

@@PelpsRoxXx É q no caso o ataque de csrf te direciona para o dominio original da aplicação porém enviando parâmetros controlados pelo atacante

@LorhanSohaky 8 месяцев назад

Isso não é afetado pela mudança proposta pelo Google Chrome sobre a utilização de cookies?

@DarlissonLimeira 9 месяцев назад

Eu utilizo acess e refresh token. O access token vai no body mas não é salvo em lugar nenhum no navegador, fica só em memória e o refresh token vai num cookie http only pro front. O usuário só precisa fazer login novamente quando o refresh token expirar, mas só permitido o acesso aos endpoints protegidos usando o accesd token. O refresh token é usado apenas para pegar um novo access token.

@DarlissonLimeira 9 месяцев назад

A spa precisa pegar o access token automaticamente quando o usuário voltar a acessar aplicação

@DarlissonLimeira 9 месяцев назад

E o backend deve verificar se o refresh token é valido pra só assim liberar um novo access token

@alitonoliveira1700 9 месяцев назад

E no caso de autenticação com firebase, onde geralmente usamos a api deles e fazemos a requisição do próprio frontend?

@iuritorres 9 месяцев назад

tbm tou precisando saber 😆

@rafaelfortunato5159 9 месяцев назад

E como o back sabe que é o cookie nomeado como 'auth' ?

@la_treta 9 месяцев назад

0:40 tem o método signUser responsável pela lógica de login, ele define no backend, o cookie Http que será devolvido na response da requisição do frontend.

@crowrvoblackfeather4851 9 месяцев назад

da mesma forma que vc consegue pegar o Header autorization no backend, vc pode pegar valores de cookies

@ezequielalves6391 8 месяцев назад

Mas como eu consigo tratar casos onde o domínio do meu backend é diferente do meu frontend? Nesses casos, há um bloqueio do set-cookie por parte do browser

@hokageofc774 9 месяцев назад

isso resolve a questão de fazer um Bearer {TOKEN}? Ele envia na requisição, mas de que forma é enviado?

@manaurevasconcelos5381 2 месяца назад

Fala galera, to com uma duvida se alguem souber ajudaria bastante. No video ele salva o jwt no frontend e entao faz as solicitações para o backend com o httponly?

@mauriciomontesmaletta6780 6 месяцев назад

booom conteúudo ROCKET

@genemes 4 месяца назад

E quando o backend está configurado para não receber cookies?

@LeooHenrrique 9 месяцев назад

Muito bom.

@sweydabdul8090 6 месяцев назад

como saberei se ele tem uma sessao ativa, para o redicionar para tela de login por exemplo?

@ojoaoalexandre 9 месяцев назад

Como encontro esse projeto na plataforma da Rocket? Qual Ignite?

@dieegosf 9 месяцев назад

Vai entrar em breve no Ignite, entra primeiro o front-end (já essa semana) e depois o back-end.

@LuisFernandoGaido 9 месяцев назад

Cookie é bom e eu gosto.

@devcoelho 9 месяцев назад

essa é boa ksks

@wardevley 9 месяцев назад

Boa, eu ja faço assim.

@ectorcunha 9 месяцев назад

Alguém me recomenda um curso / playlist que mostre como desenvolver códigos que evitem ataques nas aplicações. Vídeos como este aqui são raríssimos, praticamente todos que eu já vi são teóricos.

@nichi785 6 месяцев назад

Você ainda consegue acessar os Cookies dentro da aplicação por meio do parsedCookies?

@CarlosSilva-hy8xt 9 месяцев назад

muito bom, mas no next 14 ta uma mrd essa feature dos cookies junto com o server components

@Valentim_Gab 7 месяцев назад

Tá bem complicado utilizar Refresh Token com SSR e Cookies

@NeuraVlogdolfim 9 месяцев назад

Desculpa irmão mas concordo um vídeo na explicativa seria ótimo, pq pelo que eu entendi vc tem o domínio da pessoa que tá acessando mas dentro do ip no caso (domínio) podem ter mais de uma pessoa na mesma rede não tem como vc diferenciar.. mas posso estar enganado, um vídeo explicando seria maravilhoso!

@bcr1532 9 месяцев назад

Essa é uma solução bacana quando o back pertence ao mesmo domínio que o front (cookie 'same-site: strict'). No entanto, a maioria dos navegadores já bloqueiam essa prática entre servidores de origem diferente. Qual prática vc recomenda nesses casos?? Grande abs! Sou seu fã!

@GMP93 9 месяцев назад

Nesse caso você configura o CORS pra ter controle de diferentes domínios. Bem comum nas aplicações modernas que o front está num CDN e o back está em algum serviço diferente

@ezequielalves6391 8 месяцев назад

@@GMP93 Isso é possível de que maneira?

@pedrobenicio4955 9 месяцев назад

é a mesma estratégia que também utilizo. Eu gero todo o token JWT no backend e envio para o frontend com a sua respectiva data de expiração do cookie. Basicamente nao faço nada no frontend...

@eduardoribeiro9497 9 месяцев назад

Mas no frontend é preciso salvar o token não é?

@pedrobenicio4955 9 месяцев назад

@@eduardoribeiro9497eu faço isso pelo backend mesmo. O token jwt já chega no front salvo e ele é enviado automaticamente em toda requisição. Então basicamente não é feito nada no frontend. Prefiro deixar este trabalho de autenticação e verificação do token para o backend do que para o frontend. No front eu faço outras coisas na qual é responsabilidade dela fazer. Mas autenticação eu deixo toda pro Back

@eduardoribeiro9497 9 месяцев назад

@@pedrobenicio4955 Interessante, bom trabalho 💪

@karlmalone3603 9 месяцев назад

@@pedrobenicio4955 Mas como esse token é salvo no front?

@LuizNicolak 9 месяцев назад

Mas e no caso do usuário fechar a aba ou apertar um F5, como vou recuperar o token - que ainda estava válido.? Será necessário uma nova autenticação?

@thiagosousa6596 9 месяцев назад

Boa noite. Esse projeto já está disponível no ignite?

@fadoricagames2031 9 месяцев назад

Opa. acho que é no Ignite de nodejs

@thiagosousa6596 9 месяцев назад

@@fadoricagames2031 não tem lá não, amigo

@1LY4x8s96r 9 месяцев назад

Vai ser colocado ainda lá.

@lulucatioro 8 месяцев назад

Mas esse cookie que é httpOnly fica persistido no navegador?

@joaovitor1471 9 месяцев назад

Qual seria o tema do github para ficar com essas cores, ou foi personalização do Arc ?

@dieegosf 9 месяцев назад

Personalizei o meu mesmo.

@arozendojr 9 месяцев назад

Douglas, rato borrachudo, falou que os JavaScript pode acessar os Cookie, chega a fazer buff Over cookie, meio que colocar o cookie de filiado, fazendo a comissão ira para quem fez esse ataque, lógico que não sei os detalhes, parece os cookie uma boa ideia, porém tenho que testar

@rafael_tg 9 месяцев назад

mas da pra ver o token pelo developer tools na aba network ?

@rafael_tg 9 месяцев назад

@@Shinodinho obrigado

@dev_miguel 9 месяцев назад

Funciona com aplicações mobile nativas?

@dieegosf 9 месяцев назад

Acho que no mobile não rola com cookies (eu acho), não conheço muito sobre Swift ou Kotlin (se foi o que você quis dizer com nativas).

@dev_miguel 9 месяцев назад

@@dieegosf então, embora fale sobre cookies, a única regra adicionada é informando pra usar com credenciais. Pelo menos as libs não especificam que o backend vai procurar unicamente no cookie. Depois vou dar uma estudada, possa ser que exista um campo ou propriedade que seja suportada no nativo