PHP Session Management dengan JWT  

2 tahun ngoding php, baru tau session php punya masalah sprti ini, tp so far saya pakai 1 vm. thankyou mas eko materinya sangat daging sekali 😅

Mas bahas security layer di JWT dong, dari prevent XSS, secure header dan prevent stolen token!

case ini bener2 baru berasa jika bikin app pakai cross domain. btw bener2 jelas banget.. baru paham, selama ini masih pakai md5 token via database. thanks share ilmunya

Keren banget materinya,, selalu ada solusi,, terimakasih mas Eko,,

di akhir video dijelasin soal 2 hal : 1. jwt kecuri lewat XSS kecuri 2. Session_id yang disimpen di database. Saya mau tanya soal yang kedua, lalu apa bedanya kalau kita langsung nyimpen session_id, user_id, dan role tanpa jwt, jadi di cookie simpen aja session_id yang didatabase

hahahaha gw baru tahu cara kerja php session, astaga selama ini ngga ngeh......ilmu daging nih, makasih suhu

Banyak ilmu yang bisa didapat dichannel ini sebagai developer apapun bahasa pemrogramannya. Terima kasih pak eko atas sharing ilmunya sangat bermanfaat. Salam programmer zaman now.

Masalah PHP session management is real, terjadi di project kantor. Saya terapkan solusi 1 yaitu menggunakan redis. Mantaps kang Eko

Terimakasih banyak mas Eko,, sangat bermanfaat sekali,, jadi makin jelas asumsi problem sesion management & keamanannya,, meskipun baru mau nyempung belajar PHP 😀, the real world project case problem,, membumi

betul tuh bang klo sessionny ngecreate file bs bkin bengkak dan timbul msalah diserver. Sy ada case jg wktu itu, session sistemny kpenuhan smpe 60GB (var/lib/php/session). Alhasil user jadi gak bs login, stelah diclear sessionny br bs login lagi. Jadi skrg mau ga mau tiap pagi hrus run cronjob buat nghpus sessionny. just sharing .. hehe. (***Bang klo bs banyakin video problem solving ky video lelang mnicooper kmrn, jd ada mslh ada solusi).. hehehe mkasih bang eko

makasi pak. ini baru ketemu belajar backe end yg bagus. lengkap dengan analiticnya

terimakasih mas eko, ilmu yang bermanfaat sekali pasti bermanfaat

Mantap materinya

Pak eko request tutorial flutter di android studio dong

akhir nya setelah 3 tahun. aku nonton balik tutorial ini

Ngomong-ngomong soal ngobar (ngoding bareng) gimana kalau Pak Eko buat aplikasi opensource bareng temen-temen disini??sepertinya akan asik. hehe

klo saya biasanya pke database mas untuk sessionnya,,jadi g masalah byk server vps..tpi tq dah, infonya untuk jwt

mas eko sebelumnya terima kasih ilmu nya sangat bermanfaat sekali🙏🙏 saya mau tanya, yang di maksut session id di simpan di DB itu di tabel users kah? atau haru bikin tabel khusus ? dan apakah penggunaan JWT lebih baik dengan Laravel sanctum? terima kasih sebelumnya 🙏🙏

Wah mantap, kalau ada video masukin session ke DB mantap lagi nih

Kang eko, kalau untuk case arsitektur yg microservice, apakah solusi penambahan session_id bisa berhasil?, katakanlah ada 2 service (A & B), masing2 terdeploy pd 2 server/VPS yg berbeda, katakanlah A di GCP dan B di AWS. Ketika awal login request akan ditujukan ke A, lalu cek ke database utk username+pass, jika sesuai maka generate JWT dan simpan di cookies nya user. Kemudian dlm kondisi msh login, user mengakses service B, lalu service B mengecek hash dgn secret key yg sesuai (tentu saja service B sdh punya secret key nya pastinya, krn kan sebenarnya 1 aplikasi). Katakanlah user logout, namun JWT nya sempat dicopy oleh orang lain, dan orang lain tersebut coba login tapi langsung ke service B, bukankah tetap bisa masuk ya?krn sistemnya kan service B mengecek signature JWT yg dikirim user dengan signature hasil hashing service B terhadap header & payload JWT yg dikirim user?Bukankah hasilnya tetap sam? Apakah benar bisa tetap masuk ke service B? Kan service B tidak mengakses/tdk terhubung dgn database yg di service A?

masuk pak eko!! keren ilmu nya sangat bermanfaat

saran upload dijam2 abis buka bang. perut dah kenyang pasti mantep nerima ilmunya.

ilmunya daging banget mas eko. mantap

sangat bermanfaat materia nya mas eko. 5 tahun jadi web programmer php baru kali ini "ngeh" kalo session php disimpan di file yang nanti akan bermasalh saat scaling secara horizontal servernya. Saya ingin bertanya mas eko, dengan implementasi JWT ini, berarti kita perlu membuat secret key yang berbeda jika ada 5 website lain yang kita handle. nah untuk istilah "menyimpan secret key diserver" ini apakah hanya dengan menyimpan secara variabel di file web php nya sprti yang mas eko tunjukkan ?

Bikin tutor soal SSO dong mas.

makasih ilmunya mas..

29:30 Kapan secret key JWT nya disimpan, apakah kita harus store satu satu ke servernya? Atau jwtnya sendiri yg simpan? Dan gimana kalau sewaktu waktu kita tambah VPS? Apakah JWTnya mampu mengenali VPS baru?

Mantab om

ilmu anda berkah mas eko

mantaf kang eko.. semangat semangat..

23:50 izin koreksi, yang dicompare itu signaturenya, bukan hasil encode. Hasil encode berubah nggak masalah selama signaturenya benar.

Masuk pak Eko...

terima kasih ilmunya mas eko

Tambahkan func isset -> isset($_SESSION['username'])) , untuk memastikan/ mengecek variable terdeklarasi

Mantappp pinter banget

itu kalau payload nya disimpen ke session() lagi apa gak disimpan di file lagi mas?

Halo, untuk implementasi login system dengan JWT pada Laravel bagaimana ya? Apakah Laravel mempunyai library sendiri untuk consume JWT token yang dibuat dan saya masih bingung karena Laravel mempunyai middleware tersendiri untuk login yang memeriksa ke tabel users. Bagaimana penerapan login system dengan JWT? terima kasih

ruang kerja/rekamannya keren banget sekarang

next, load balancer untuk pemula nya pak

Untuk penggunakan JWT ketika menambahkan session_id berarti setiap login akan digenerate ulang ya & ketika mengklik action lain setelah login maka selalu mengecek session_id ke db kah ? Terus jika ada tambahan session_id kalo usernya gk logout, kan session_id nya gk terhapus, apakah masih bisa ditembak oleh user nakal ?

Kang kalau mau tanya², gimana nih, niat sih pengen ikut belajar syarat² nya aja gitu. Tkb atas respon dan sarannya.

Mantap mas Eko terimakasih

Ntapz

maksudnya kalau simpan sesion id di DB, ketka tiap kali request data, verify JWT dari client sekalian cek juga session ID di DB?

Ini jaman 2015 yg ane alamin pas bikin season buat project forum. Banyak yg kendala kok harus login ulang tiap request

Pernah pakai jwt waktu pakai express js.. klo user dah ganti passwd. Token lama msh bisa login. Harus ngakali lagi di stackover flow lihat date modify di user table si.

untuk pakai share hosting 1 vm aman ya bang. jika pakai aws load balance maksudnya masalahnya disitu enak pake jwt

insightful

Boleh dong mas sekalian live, biar ada pertanyaan dari live chatnya

#ask kak eko mau nanya soal cookie yg dikirim otomatis selama permintaan (client-server), apakah ini kemungkinan dpt mengalami serangan CSRF (web attacker) ? dan klo bener apaa ada solusinyaa? makasih kak eko..

makasih pak ilmunya,sehat selalu

Setupnya makin bagus aja

Kalau pake sessionnhandler gimana mas ? saya lihat di cms juga pake semacam session handler, contohnya drupal juga punya session handler yang menyimpannya di tbl session ?

JWT dgn PHP dgn http-only untuk memastikan dia bekerja dgn baik, tdk mudah tercuri, bgmn yach ?? Minta referensi nya untuk cek JWT dgn PHP dgn http-only bekerja dgn baik dan sesuai ,, Thx

Studio tour boleh nih mas Eko

Bang tanya dong .. Utk prevent multi login pakai jwt gmna ya? Sample case nya jwt di share dgn sengaja. Tengkyuuu

set up nya luar biasa pak

Mantap mas Eko

50:00 kalau kita tidak logout, orang lain masih bisa login... harus kita simpan jg jenis browser dan perangkatnya

pak klo payload nya sy encrypt di server gmn, pke mcrypt atau openssl misalnya, jadi payload nya kita enkripsi dulu sblm di store ke jwt.

Mas eko, saran dong buat nyimpan secret key bagusnya dimana apakah di hardcode koding atau di database ?

thanks mas.....

mas eko, posisi load balance nya beda node sama aplikasi a sama b nya ya?

untuk tinggat keamanan php session masih bagus gak bang

pernah mengalami ketika diminta deploy app enterprise akhirnya pakai redis untuk session manager php 😅

Hallo bang saya bekerja di perusahaan sudah 4 tahun teknologinya masih menggunakan teknologi lama yaitu delphi.. ketika saya mau keluar dari perusahaan tersebut dan mencari pekerjaan lain saya melihat sudah sangat susah sekali untuk mencari pekerjaan dengan teknologi stack yang saya punya sekarang.. apakah solusinya saya harus mengikuti bootcamp untuk ini bang?

Keren pak, ikutan belajar ya🙂

Mantapp

nuhun a eko bermanfaat bgt , salam dari subang :D

Tambah keren pak

Wehe, layout baru, dah kayak utuber2 pada umumnya, hehe 😁

tapi secret key nya bukannya bisa di brute force secara offline?

kalau pakai random string session id berarti setiap request selalu melakukan cek ke database ya mas untuk ngelihat apakah session id nya masih ada atau tidak?

ini untuk yang pake aws auto scaling

Session id ngga perlu bang, kan jwt di generate pakai sha256, meskipun datanya sama kan hasilnya bakal beda tiap kali digenerate, jd jwtnya bisa langsung dipakai sebagai session id. Dilemanya itu soal sessionless jwt 😭

keren bang sekrang set upnya

request dong vanila JS tapi bisa bikin buat web, android , sama ios

Mantap!!!

Kang eko, device yg di pake buat nulis dari trackpad sama pen nya apa kang😁

request implementasiin Oauth2 dong mas sama php :D

Pak eko, java session management juga dong

Wkkwkw baru tau ada JWT 😂, saya malah bikin manual. Kurang lebih sama ama JWT

Sip

banyakin konten ngobar kayak gini mas eko

Request yang pke Oauth2 dengan PHP pak

pak apakah jwt ini bisa digunakan untuk SSO ?

mas eko, berarti misal di scale di dua vm, secret key ada di simpan di dua vm itu ?

Bang maaf mau nanya, kenapa yah session kadang suka ga kebaca ?

Request buat Oauth2 atau bearer token

tapi kalo masih monolith ga ada masalah kan pake session bawaan

wih glowwing bro pake web cam baru ni

Tumben mas udah pake greenscreen, jadi bagus backgroundnya 😃

bang bahas sessioan management laravel dong

bang eko, bahas oauth dong bang

ciee setup baru nihh kamar nya?/

kangen set apartemen polos :(

Request tutorial gRPC pak

#Daging A5 Pak Eko

mohon maaf font nya kurang besar terimakasih

#ask untuk secretkey apa taruh .env udah cukup aman?