Виды авторизации: сессии, JWT-токены. Для чего нужны сессии? Как работает JWT? (+ разбор ошибки)

preview_player
Показать описание
Привет! Это видео является частью моей лекции в рамках проекта "ITMO.Mentors". Сегодня поговорим о самом процессе авторизации, о сессиях и токенах, разберём ошибку из прошлого ролика.

Полезные ссылки:

Таймкоды:

00:00 Вступление
00:05 Точки над Ё
02:16 Сессии
06:39 Токены
11:08 Что такое JWT?
13:15 Пара токенов
14:36 Что почитать?
15:22 Разбор ошибки
  1. David Dobryakov
  2. как работает jwt
  3. как работает сессия
  4. виды авторизации
  5. идентификация авторизация аутентификация
  6. идентификация
Рекомендации по теме
Виды авторизации: сессии, 0:16:52

Виды авторизации: сессии, JWT-токены. Для чего нужны сессии? Как работает JWT? (+ разбор ошибки)...

Что такое JWT, 0:37:02

Что такое JWT, Access и Refresh токены. Разница между JWT и Сессиями. Bearer и виды авторизации....

JWT авторизация. Основы 0:06:45

JWT авторизация. Основы JWT - механизма.

Что такое JWT 0:14:32

Что такое JWT и как его создать

Авторизация в микросервисах 0:30:07

Авторизация в микросервисах | JWT токены и сессии

Авторизация при отправке 0:14:33

Авторизация при отправке API запросов (401 статус, token, authorization заголовок)...

Аутентификация в Веб-Приложениях 0:30:24

Аутентификация в Веб-Приложениях 👨‍💻JWT и Сессии

Cookie VS Token 0:03:48

Cookie VS Token Authentication

Что такое OAuth 0:14:27

Что такое OAuth 2.0 и OpenID Connect за 15 минут

ТЫ ДЕЛАЕШЬ ЭТО 0:19:43

ТЫ ДЕЛАЕШЬ ЭТО НЕПРАВИЛЬНО! JWT VS SESSION ДЛЯ АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ...

JWT(JSON Web Token) 0:07:07

JWT(JSON Web Token) | Bearer token - что это и как это работает

Авторизация на JWT 0:02:38

Авторизация на JWT токенах. Урок 0: Краткая теория

5 видов аутентификации 0:33:00

5 видов аутентификации и где они обитают / Намиг Нурмамедов (skyeng)...

Что такое JWT? 0:12:18

Что такое JWT?

#13. Идея авторизации 0:11:49

#13. Идея авторизации по JWT-токенам | Уроки по Django REST Framework

JWT токены: формирование 0:13:54

JWT токены: формирование payload

Атаки на JWT 0:07:49

Атаки на JWT | почему возникают ошибки JWT и как их избежать? | уязвимости JWT | ЭТО НУЖНО ЗНАТЬ!...

Простая авторизация на 0:31:46

Простая авторизация на NODE JS. Роли пользователя. Express и MongoDB. JWT Access Token, bcrypt...

Как возникают уязвимости 0:00:32

Как возникают уязвимости в JWT? #jwt

Проектирование логики аутентификации 1:55:12

Проектирование логики аутентификации и авторизации: cookies, JWT, SSO, OAuth 2.0....

Аутентификация и авторизация 0:21:35

Аутентификация и авторизация с помощью JWT в Symfony PHP фреймворке...

Продвинутая JWT авторизация 1:46:03

Продвинутая JWT авторизация на React и Node js. Access, refresh, активация по почте...

Артем Зубов. Аутентификация, 0:31:10

Артем Зубов. Аутентификация, Авторизация, SSO

Лекция 12. JWT 1:15:27

Лекция 12. JWT и SSO

Комментарии
Автор

Все четко и по делу. Хорошо расписано и понятно. Лайк и подписка

ВасилийП-чр
Автор

Время жизни токена устанавливается на стороне сервера кодером, ну и конечно устанавливаются те числа которые нужны по логике кодера ))
Спасибо за видео!

TheEBPO
Автор

12:40 в итоге получаем особый вид вредительства - "разлогинивание пользователей каждую минуту" =)
14:30 ошибка. если истек refresh token, то это разлогинивание без иных вариантов. Для того, чтоб избежать разлогинивания, за определенный период времени перед истечением refresh token необходимо отправить запрос на его обновление. Например, если сам токен живет месяц, то за неделю до его истечения обновляем refresh token

耳に胼胝ができる
Автор

Мне здорово помогла эта инфа! И прикрепленная тоже.
спасибо мужик, удач во всем (сообщение более пяти слов для алгоритма ютьюба))

naopopichah
Автор

Нет ничего невозможного, все зависит от времени, мастерства и желания

ziegimondvishneuski
Автор

Про токены: если refresh токен получил злоумышленник, но он может сам создать токен. Поэтому сторонние плагины при получении доступа к access token, могут получить доступ и к refresh токену.

Путь решения проблемы автор ролика упоминул, - разлогиниться.

ko
Автор

Видео классное, но jwt токен можно подменить, если ключ шифрования не был достаточно надежен, можно забрутфорсить

alexalexov
Автор

Сессия и токен это не виды авторизации. Сессия это единица учета пользователя в системе. А токен это расширенный формат этой единицы учёта, в нём есть заявки пользователя. В обоих случаях, сама авторизация происходит потом, на основе этой единицы учёта. Те же jwt токены так же нуждаются в сессиях и их управлении. Черный список не решает проблемы токенов, потому как кроме всего прочего необходимо вести учёт того сколько раз пользователь зашел под одним и тем же аккаунтом, иначе шаренный аккаунт будет юзаться всеми кому не лень. jwt был придуман для того чтобы разгрузить процесс авторизации(проверки пермишенов), а не для того чтобы заменить сессии.

Пётр-ди
Автор

Уважаемый друг! Спасибо за видиеоурок. Скажи пожалуйста как можно решить следующую аутентификацию когда появляются на телефоне два разные токена при авторизации в виде семизначными цифрами и второе шестизначными цифрами на короткое время и просят нажать кнопку отправить и исчезает. А на следующем этапе появляется один токен с другими шестизначными цифрами и требует записать второго токена семизначного цифра. Как можно решить такую аутентификацию? Помоги если сможешь.

МуктарбекИшенбеков
Автор

Какой в едренефене доступ к обновляемому токену? Обновляемый токен является одноразовым и если злоумышленик его получает, то у тебя получается проблема, так как ты получишь уведомление, о том что твой токен неверен"протух".

ziegimondvishneuski
Автор

Спасибо за ролик. Но всё-таки как на сервере "расшифровывается" содержимое jwt, если sha256 - необратимое шифрование?

МихаилКомаров-ий
Автор

На практике можно болт положить на устройство jwt токена за 3-4 года работая с микросервисами где токены активно юзаются ни разу об этом не думал так мельком гуглил шо оно такое вначале и благополучно пошел дальше, но на каждом собесе это цепляют.. - спрашивается вот зачем каждому разработчику знать эту подноготную?? - если ты не работаешь над auth модулем или чем то где вот именно эти знания реально нужны - как впрочем и др топики из этой же серии: сборка мусора - мне глубоко до 3, 14 как оно там собирает мусор - сборку мусора для того и придумали что б я об этом не парился. 0, 1% задач где это важно в остальных случаях это только нагружает мозг и замедляет процесс написания кода - ведь мозгу приходится процессить мне создать как обычно класс или всё-таки структуру.. - я так понял что мир полон задротов которые хотят всех под свою гребенку расчесать когда спрашиваешь интервьювера а зачем мне под ваши реквайрменты знать то что ты спрашиваещь - в 9 из 10 случаев человек меньжуется ну типа я общий уровень проверяю..

ruffle
Автор

не стуртурированно. С самого начала начал вскользь бегать по разным аспектам. Крч в башке каша одна после видоса

RomanKoshetov
Автор

После 9 минут просмотра ни слова про oayth и собственно jwt. Заголовок кликбейтный, дизлайк

ЯщикПочтовый-шх
Автор

Нести откровенную чушь важным тоном и учить людей тому, в чем сам не разбираешься - это особый скилл.
«Сессия хранится в куках» - восхитительно

artemovskiy
Автор

Недавно на сайте вконтакте уаидел в payload мои данные в нешифрованном виде, как такое возможно?

КшиштофБзжински
Автор

Спасибо за ролик. Но всё-таки как на сервере "расшифровывается" содержимое jwt, если sha256 - необратимое шифрование?

rajapboyev