Gamedev czy powinienem użyć JWT?

Question

Cześć !

Na codzień pracuję w springu, i postanowiłem stworzyć w miarę prostą grę just 4fun po godzinach pracy. Korzystam z Unity, PHP i MySQL, zrobiłem już prostą rejestracje i logowanie ale pojawiło się pytanie - czy w game devie też powinienem skorzystać z tokenu JWT do autoryzacji wszelkich operacji użytkownika? Moja gra ma troche elementów z MMO - rynek, walki z innymi itd ( gierka 2D podobna troche do Shakes & Fidget ). Pytanie czy w takich gierkach korzysta się z tokenu JWT? a może w game devie jest jakieś inne rozwiązanie na security? Nie znam się na tym zbytnio, także bardzo proszę o wszelkie rady. Obecnie bez żadnego tokenu czy innego rozwiązania, obawiam się że user może wykraść z kodu path do PHP i wysłać fake form, żeby np zdobyć jakiś itemek.

Answer 1

JWT raczej średnio się nadaje. JWT jest bezstanowy co tylko bardziej utrudnia pracę. Zwykły stadion ID starczy. A jak to gra multiplayer to tym bardziej.

Comments

JWT jest bezstanowy co tylko bardziej utrudnia pracę.

Czy mógłbyś to czymś poprzeć?

---

Drugi raz mam z Tobą dyskutować o tym samym? :) JWT ma większy rozmiar od zwykłego tokenu(zależy jak długi jest token, ale generalnie powinien być mniejszy od JWT), a w grach gdzie żądania są wysyłane bardzo często to tylko zwiększa transfer danych. Druga rzecz, to JWT z założenia ma być bezstanowy, czyli mieć zapisany nick czy role w samym JWT, co przy częstych zmianach danych i częstym  ich sprawdzaniu (w grach używa się np botów banujących i zablokowanie użytkownika powinno następować natychmiast), używanie JWT w tym przypadku jest bez sensu bo i tak co żądanie trzeba zapytać bazę danych czy użytkownik ma aktywne konto itp

---

grach gdzie żądania są wysyłane bardzo często to tylko zwiększa transfer danych.

A no tak. Backend średniowiecza, zapomniałem. Masz rację nie ma sensu dyskutować.

---

@Ehlert, ale to przecież jest główne założenie JWT: bezstanowość. Cały stan użytkownika trzymany jest w tokenie na dobrą sprawę. Co z miejsca de facto eliminuje tradycyjny JWT z zastosowań, które wymagają wysokiego stopnia bezpieczeństwa.

To, jak bezstanowość utrudnia pracę, widać po samym HTTP i tym, z czym musimy się męczyć od ponad 20 lat – cookies. Teraz proponuje się inne rozwiązanie: HTTP tokens, ale znów wracamy do początku, czyli, że o sesji użytkownika decyduje przeglądarka/klient, nie serwer, a w sumie to to są cookies, tylko niedostępne z poziomu JS. Czyli kwadratura koła.

---

Czyli coś w stylu jwt ale jak cookies + httpOnly. Niedługo hasła będziemy sprawdzać po stronie klienta.

Z drugiej strony nie rozumiem czemu nie zapisać do jwt samego userId. Token jest chudszy, bieżące dane mamy z bazy. Imo omijanie jakiegoś rozwiązania z powodu problemów jakie powoduje pełna standaryzacja (stateless w tym wypadku) to jakaś paranoja. Nie chodzi mi tutaj o olewanie standardów bezpieczeństwa itp itd. Robimy jedno query do bazy i tym sposobem łączymy zalety stateless i stateful. Nie skazujemy się tym sposobem na jakiś dramat i ograniczenia. Biznes i tak to ma w 4 literach.

---

Skoro w JWT trzymasz tylko id, to… po co Ci JWT? ;)

---

Bo robię api dla aplikacji mobilnych.

---

BTW

Niedługo hasła będziemy sprawdzać po stronie klienta.

https://webauthn.io/ ;) A Apple wgl wyjechało z czymś jeszcze dziwniejszym:  https://lists.w3.org/Archives/Public/public-webappsec/2019Sep/0004.html

Answer 2

Użyj tego z czym Ci będzie wygodnie. Jeśli piszesz w Symfony to masz z marszu dostarczony firewall z cookiesami. Jeśli separujesz front to warto pomyśleć o JWT, dopisanie Guarda do jwt to 20 minut roboty.