Если токен валидный, нужна ли проверка на существование в БД юзера?

Question

lexstile @lexstile

JSON Web Token

Если токен валидный, нужна ли проверка на существование в БД юзера?

Нужно ли делать проверку на существование пользователя в БД при проверке токена JWT?
Или валидный токен сам по себе служит доказательством существования пользователя?

Пример, в payload я храню id юзера.
Нужно ли делать проверку на существование пользователя с указанным id в БД?

Как я понимаю, это лишний кейс?
Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Вопрос задан более двух лет назад
154 просмотра

10 комментариев

Подписаться 2 Простой 10 комментариев

FanatPHP @FanatPHP

если проверять, то в чем смысл использования токена? проще тогда просто идентификатор сессии, по которому уже подтягивать всю инфу, как по юзеру, так и по сессии

Написано более двух лет назад
Сергей delphinpro @delphinpro

Валидный токен доказывает лишь то, что информация в нём не была модифицирована.

Написано более двух лет назад
lexstile @lexstile Автор вопроса

FanatPHP, c refresh так и делаю, кладу в payload id сессии.
А если это будет access token (для него отдельной сессии не создается)? - его особой необходимости нет хранить в БД.

Написано более двух лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, а если в нем есть id пользователя, это не означает, что пользователь существует?

Написано более двух лет назад
Сергей delphinpro @delphinpro

lexstile, Вы сами записываете этот ID в токен. Если токен валиден, то это значит, что данные в нем (ID) именно те, которые вы записали, и косвенно это доказывает существование пользователя. Ведь вы записали туда существующего пользователя. Однако, пользователь, например, может быть удален из базы.

Написано более двух лет назад
FanatPHP @FanatPHP

ну вот и надо определиться - есть необходимость или нету необходимости
обычно в любой системе авторизации предусмотрено изменение уровня доступа, в просторечии - "бан".
если такой функционал не предусмотрен, то можно использовать и стильный модный молодёжный токен JWT
если же такой функуционал требуется, то смысла в использовании токенов примерно ноль.
потому что тогда все равно надо прочитать сессию при каждом обращении, а если читаем сессию, то хранить инфу в токене становится бессмысленно

Написано более двух лет назад
lexstile @lexstile Автор вопроса

FanatPHP, в моем случае разделения прав не будет - есть зарегистрированный пользователь и гость, на этом все.
Вот и пытаюсь понять, нужна ли проверка на существование пользователя в БД.
То, что юзер заблокирован и у него нет полномочий - это другой кейс.

Написано более двух лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, в общем, проверять и не париться, понял, благодарю.
В моем случае пользователь может быть удален только в случае сбоя программы, взлома и т. п.

Написано более двух лет назад
Сергей delphinpro @delphinpro

Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Почему же несуществующим? Можно с ID админа, например =) Но кража секретного ключа это уже другой вопрос.

Написано более двух лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, так админ существует в БД, по сути, проверка на существование и не нужна в этом кейсе.
Она только подтвердит, что пользователь существует в БД.

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

JSON Web Token

Простой
Для чего refresh токен нужен?
- 1 подписчик
- 03 сент.
- 131 просмотр
2

ответа
JSON Web Token

Простой
Можно ли обойти аутентификацию JWT, если знаешь секретное слово, но не знаешь timestamp?
- 1 подписчик
- 27 июн.
- 137 просмотров
1

ответ
PHP

+2 ещё

Простой
Как работает аутентификация Laravel Sanctum и что лучше JWT или Sanctum?
- 1 подписчик
- 16 июн.
- 147 просмотров
1

ответ
ASP.NET

+1 ещё

Средний
По какой причине jwt токен не валидный?
- 3 подписчика
- 15 июн.
- 422 просмотра
1

ответ
PHP

+2 ещё

Простой
Куки и jwt токен как с этим работать?
- 1 подписчик
- 20 мая
- 220 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 22 апр.
- 111 просмотров
0

ответов
Фронтенд

+1 ещё

Простой
Как понять токен рефрешится или нет?
- 1 подписчик
- 11 апр.
- 112 просмотров
2

ответа
Java

+2 ещё

Простой
Как создать jwt токен и подписать его приватным сертификатом по алгоритму RSA?
- 1 подписчик
- 04 апр.
- 154 просмотра
1

ответ
Linux

+2 ещё

Простой
Чем конвертировать TLS в JWT токен (tls2jwt)?
- 1 подписчик
- 28 мар.
- 106 просмотров
2

ответа
ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 293 просмотра
2

ответа
Показать ещё Загружается…

Системный администратор Linux (вторая линия технической поддержки)

Support IT • Красноярск

от 120 000 до 150 000 ₽

Менеджер IT проектов (координатор цифровой трансформации)

Российский Красный Крест • Москва

До 105 000 ₽

Backend разработчик

Wanted.

До 250 000 ₽

Доработка игрового веб-портала (Laravel + Next.js + React)

18 дек. 2024, в 15:50

50000 руб./за проект

Восстановление работы PHP скриптов

18 дек. 2024, в 15:41

3000 руб./за проект

Код для текстуры в Tilda

18 дек. 2024, в 15:31

500 руб./за проект

если проверять, то в чем смысл использования токена? проще тогда просто идентификатор сессии, по которому уже подтягивать всю инфу, как по юзеру, так и по сессии
Валидный токен доказывает лишь то, что информация в нём не была модифицирована.
FanatPHP, c refresh так и делаю, кладу в payload id сессии.
А если это будет access token (для него отдельной сессии не создается)? - его особой необходимости нет хранить в БД.
Сергей delphinpro, а если в нем есть id пользователя, это не означает, что пользователь существует?
lexstile, Вы сами записываете этот ID в токен. Если токен валиден, то это значит, что данные в нем (ID) именно те, которые вы записали, и косвенно это доказывает существование пользователя. Ведь вы записали туда существующего пользователя. Однако, пользователь, например, может быть удален из базы.
ну вот и надо определиться - есть необходимость или нету необходимости
обычно в любой системе авторизации предусмотрено изменение уровня доступа, в просторечии - "бан".
если такой функционал не предусмотрен, то можно использовать и стильный модный молодёжный токен JWT
если же такой функуционал требуется, то смысла в использовании токенов примерно ноль.
потому что тогда все равно надо прочитать сессию при каждом обращении, а если читаем сессию, то хранить инфу в токене становится бессмысленно
FanatPHP, в моем случае разделения прав не будет - есть зарегистрированный пользователь и гость, на этом все.
Вот и пытаюсь понять, нужна ли проверка на существование пользователя в БД.
То, что юзер заблокирован и у него нет полномочий - это другой кейс.
Сергей delphinpro, в общем, проверять и не париться, понял, благодарю.
В моем случае пользователь может быть удален только в случае сбоя программы, взлома и т. п.
Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Почему же несуществующим? Можно с ID админа, например =) Но кража секретного ключа это уже другой вопрос.
Сергей delphinpro, так админ существует в БД, по сути, проверка на существование и не нужна в этом кейсе.
Она только подтвердит, что пользователь существует в БД.

Answer 1 · 2022-01-04 23:22:44

Sergey @KingstonKMS

Естественно надо

Ответ написан более двух лет назад

Комментировать

Если токен валидный, нужна ли проверка на существование в БД юзера?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт