Logowanie

JWT - pytanie

pytanie zadane 26 lutego 2019 w JavaScript przez Krzysio4224 Obywatel (1,690 p.)

Hej,

mam pytanie dotyczące jwt:

1. czy token za każdym razem gdy się logujemy zmienia się?

2. gdzie najlepiej trzymać taki token, localStorage, sessionStorage?,

1 odpowiedź

odpowiedź 26 lutego 2019 przez Ehlert Ekspert (215,050 p.)

Zależy od tego jakie flow przyjmiesz. Możesz przy logowaniu generować tzw refresh token. Posługując się nim tworzysz nowe krótko ważne access tokeny. Możesz też opierać się tylko na access tokenach. Wtedy co logowanie będzie się generować nowy.
Local Storage ma dłuższy czas ważności. Najlepiej tam trzymać tokeny.

komentarz 26 lutego 2019 przez Krzysio4224 Obywatel (1,690 p.)

a przy jwt da się zrobić przy logowaniu opcje zapamiętaj mnie?

komentarz 26 lutego 2019 przez Ehlert Ekspert (215,050 p.)

Tak. Daj bardzo długi czas ważności tokena i trzymaj go w localStorage. Bez zapamiętaj mnie trzymaj go w sessionStorage.

1	komentarz 26 lutego 2019 przez Krzysio4224 Obywatel (1,690 p.) i wtedy token zapisuje do bazy danych i sprawdzam jakimś endpointem czy użytkownik jest token = token z bazy ?

komentarz 26 lutego 2019 przez Ehlert Ekspert (215,050 p.)

Nie. Zgodnie ze standardem jwt nie jest zapisywane w bazie danych. Dzięki temu są stateless.

Tokeny jwt zakodowuje się za pomocą base64 a potem podpisuje algorytmami wymienionymi tutaj https://tools.ietf.org/html/rfc7519

Oczywiście możesz trzymać tokeny w bazie. Wtedy jednak nie widzę sensu, aby zawierały informacje oraz aby były podpisywane.