case ini bener2 baru berasa jika bikin app pakai cross domain. btw bener2 jelas banget.. baru paham, selama ini masih pakai md5 token via database. thanks share ilmunya
di akhir video dijelasin soal 2 hal : 1. jwt kecuri lewat XSS kecuri 2. Session_id yang disimpen di database. Saya mau tanya soal yang kedua, lalu apa bedanya kalau kita langsung nyimpen session_id, user_id, dan role tanpa jwt, jadi di cookie simpen aja session_id yang didatabase
Banyak ilmu yang bisa didapat dichannel ini sebagai developer apapun bahasa pemrogramannya. Terima kasih pak eko atas sharing ilmunya sangat bermanfaat. Salam programmer zaman now.
Terimakasih banyak mas Eko,, sangat bermanfaat sekali,, jadi makin jelas asumsi problem sesion management & keamanannya,, meskipun baru mau nyempung belajar PHP 😀, the real world project case problem,, membumi
betul tuh bang klo sessionny ngecreate file bs bkin bengkak dan timbul msalah diserver. Sy ada case jg wktu itu, session sistemny kpenuhan smpe 60GB (var/lib/php/session). Alhasil user jadi gak bs login, stelah diclear sessionny br bs login lagi. Jadi skrg mau ga mau tiap pagi hrus run cronjob buat nghpus sessionny. just sharing .. hehe. (***Bang klo bs banyakin video problem solving ky video lelang mnicooper kmrn, jd ada mslh ada solusi).. hehehe mkasih bang eko
mas eko sebelumnya terima kasih ilmu nya sangat bermanfaat sekali🙏🙏 saya mau tanya, yang di maksut session id di simpan di DB itu di tabel users kah? atau haru bikin tabel khusus ? dan apakah penggunaan JWT lebih baik dengan Laravel sanctum? terima kasih sebelumnya 🙏🙏
Kang eko, kalau untuk case arsitektur yg microservice, apakah solusi penambahan session_id bisa berhasil?, katakanlah ada 2 service (A & B), masing2 terdeploy pd 2 server/VPS yg berbeda, katakanlah A di GCP dan B di AWS. Ketika awal login request akan ditujukan ke A, lalu cek ke database utk username+pass, jika sesuai maka generate JWT dan simpan di cookies nya user. Kemudian dlm kondisi msh login, user mengakses service B, lalu service B mengecek hash dgn secret key yg sesuai (tentu saja service B sdh punya secret key nya pastinya, krn kan sebenarnya 1 aplikasi). Katakanlah user logout, namun JWT nya sempat dicopy oleh orang lain, dan orang lain tersebut coba login tapi langsung ke service B, bukankah tetap bisa masuk ya?krn sistemnya kan service B mengecek signature JWT yg dikirim user dengan signature hasil hashing service B terhadap header & payload JWT yg dikirim user?Bukankah hasilnya tetap sam? Apakah benar bisa tetap masuk ke service B? Kan service B tidak mengakses/tdk terhubung dgn database yg di service A?
sangat bermanfaat materia nya mas eko. 5 tahun jadi web programmer php baru kali ini "ngeh" kalo session php disimpan di file yang nanti akan bermasalh saat scaling secara horizontal servernya. Saya ingin bertanya mas eko, dengan implementasi JWT ini, berarti kita perlu membuat secret key yang berbeda jika ada 5 website lain yang kita handle. nah untuk istilah "menyimpan secret key diserver" ini apakah hanya dengan menyimpan secara variabel di file web php nya sprti yang mas eko tunjukkan ?
29:30 Kapan secret key JWT nya disimpan, apakah kita harus store satu satu ke servernya? Atau jwtnya sendiri yg simpan? Dan gimana kalau sewaktu waktu kita tambah VPS? Apakah JWTnya mampu mengenali VPS baru?
Halo, untuk implementasi login system dengan JWT pada Laravel bagaimana ya? Apakah Laravel mempunyai library sendiri untuk consume JWT token yang dibuat dan saya masih bingung karena Laravel mempunyai middleware tersendiri untuk login yang memeriksa ke tabel users. Bagaimana penerapan login system dengan JWT? terima kasih
Untuk penggunakan JWT ketika menambahkan session_id berarti setiap login akan digenerate ulang ya & ketika mengklik action lain setelah login maka selalu mengecek session_id ke db kah ? Terus jika ada tambahan session_id kalo usernya gk logout, kan session_id nya gk terhapus, apakah masih bisa ditembak oleh user nakal ?
Pernah pakai jwt waktu pakai express js.. klo user dah ganti passwd. Token lama msh bisa login. Harus ngakali lagi di stackover flow lihat date modify di user table si.
#ask kak eko mau nanya soal cookie yg dikirim otomatis selama permintaan (client-server), apakah ini kemungkinan dpt mengalami serangan CSRF (web attacker) ? dan klo bener apaa ada solusinyaa? makasih kak eko..
Kalau pake sessionnhandler gimana mas ? saya lihat di cms juga pake semacam session handler, contohnya drupal juga punya session handler yang menyimpannya di tbl session ?
@@ProgrammerZamanNow iya saya juga liat di video mas menuliskan soal itu, jadi kalau mas berkenan buat tutorial metodenya seperti apa, saya juga udah belajar pake semacam object interface sessionhandler interface dari laman resmi php, cuma ada beberapa hal yg belum saya mengerti seperti kapan gc dieksekusi dan seperti apa, terus kenapa di tabl session cms ada yng melakukan serialized, karena jujur saya gak nemuin tutorial bahasa indonesianya, rata2 manajemen session pake session bawaan php tutorialnya, ini sebenernya bkn masalah saya aja, tapi mngkin programmer2 lainnya yg belajar otodidak rata2 seperti yg mas jelaskan di video itu pake manajemen sessionya php, ini berdasarkan pencarian saya saja sih, saya liat tutorialnya semua jelasin session bawaan php, gak ada tambahan soal manajeen session pake metode lain yg tutorialnya bernahasa indonesia, makanya saya resah saja dan kesulitan dalam best pratice bagaimana penulisan yg benar nantinya. Terima kasih..
JWT dgn PHP dgn http-only untuk memastikan dia bekerja dgn baik, tdk mudah tercuri, bgmn yach ?? Minta referensi nya untuk cek JWT dgn PHP dgn http-only bekerja dgn baik dan sesuai ,, Thx
Hallo bang saya bekerja di perusahaan sudah 4 tahun teknologinya masih menggunakan teknologi lama yaitu delphi.. ketika saya mau keluar dari perusahaan tersebut dan mencari pekerjaan lain saya melihat sudah sangat susah sekali untuk mencari pekerjaan dengan teknologi stack yang saya punya sekarang.. apakah solusinya saya harus mengikuti bootcamp untuk ini bang?
kalau pakai random string session id berarti setiap request selalu melakukan cek ke database ya mas untuk ngelihat apakah session id nya masih ada atau tidak?
Session id ngga perlu bang, kan jwt di generate pakai sha256, meskipun datanya sama kan hasilnya bakal beda tiap kali digenerate, jd jwtnya bisa langsung dipakai sebagai session id. Dilemanya itu soal sessionless jwt 😭