Если токен валидный, нужна ли проверка на существование в БД юзера?

Question

lexstile @lexstile

JSON Web Token

Если токен валидный, нужна ли проверка на существование в БД юзера?

Нужно ли делать проверку на существование пользователя в БД при проверке токена JWT?
Или валидный токен сам по себе служит доказательством существования пользователя?

Пример, в payload я храню id юзера.
Нужно ли делать проверку на существование пользователя с указанным id в БД?

Как я понимаю, это лишний кейс?
Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Вопрос задан более двух лет назад
147 просмотров

10 комментариев

Подписаться 2 Простой 10 комментариев

FanatPHP @FanatPHP

если проверять, то в чем смысл использования токена? проще тогда просто идентификатор сессии, по которому уже подтягивать всю инфу, как по юзеру, так и по сессии

Написано более двух лет назад
Сергей delphinpro @delphinpro

Валидный токен доказывает лишь то, что информация в нём не была модифицирована.

Написано более двух лет назад
lexstile @lexstile Автор вопроса

FanatPHP, c refresh так и делаю, кладу в payload id сессии.
А если это будет access token (для него отдельной сессии не создается)? - его особой необходимости нет хранить в БД.

Написано более двух лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, а если в нем есть id пользователя, это не означает, что пользователь существует?

Написано более двух лет назад
Сергей delphinpro @delphinpro

lexstile, Вы сами записываете этот ID в токен. Если токен валиден, то это значит, что данные в нем (ID) именно те, которые вы записали, и косвенно это доказывает существование пользователя. Ведь вы записали туда существующего пользователя. Однако, пользователь, например, может быть удален из базы.

Написано более двух лет назад
FanatPHP @FanatPHP

ну вот и надо определиться - есть необходимость или нету необходимости
обычно в любой системе авторизации предусмотрено изменение уровня доступа, в просторечии - "бан".
если такой функционал не предусмотрен, то можно использовать и стильный модный молодёжный токен JWT
если же такой функуционал требуется, то смысла в использовании токенов примерно ноль.
потому что тогда все равно надо прочитать сессию при каждом обращении, а если читаем сессию, то хранить инфу в токене становится бессмысленно

Написано более двух лет назад
lexstile @lexstile Автор вопроса

FanatPHP, в моем случае разделения прав не будет - есть зарегистрированный пользователь и гость, на этом все.
Вот и пытаюсь понять, нужна ли проверка на существование пользователя в БД.
То, что юзер заблокирован и у него нет полномочий - это другой кейс.

Написано более двух лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, в общем, проверять и не париться, понял, благодарю.
В моем случае пользователь может быть удален только в случае сбоя программы, взлома и т. п.

Написано более двух лет назад
Сергей delphinpro @delphinpro

Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Почему же несуществующим? Можно с ID админа, например =) Но кража секретного ключа это уже другой вопрос.

Написано более двух лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, так админ существует в БД, по сути, проверка на существование и не нужна в этом кейсе.
Она только подтвердит, что пользователь существует в БД.

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 22 апр.
- 85 просмотров
0

ответов
Фронтенд

+1 ещё

Простой
Как понять токен рефрешится или нет?
- 1 подписчик
- 11 апр.
- 67 просмотров
1

ответ
Java

+2 ещё

Простой
Как создать jwt токен и подписать его приватным сертификатом по алгоритму RSA?
- 1 подписчик
- 04 апр.
- 80 просмотров
1

ответ
Linux

+2 ещё

Простой
Чем конвертировать TLS в JWT токен (tls2jwt)?
- 1 подписчик
- 28 мар.
- 94 просмотра
2

ответа
ASP.NET

+3 ещё

Средний
Как сделать редирект на refresh-token когда получаю AuthenticationFailed на asp.net core web api?
- 1 подписчик
- 26 мар.
- 89 просмотров
2

ответа
JSON Web Token

Средний
Как настроить аутентификацию в NATS WebSocket по JWT токенам?
- 1 подписчик
- 17 мар.
- 77 просмотров
0

ответов
Django Rest Framework

+1 ещё

Простой
Как правильно решить ошибку с RefreshToken?
- 1 подписчик
- 11 мар.
- 84 просмотра
0

ответов
Python

+1 ещё

Простой
Почему flask_jwt_extended выдаёт ошибку при импортировании?
- 1 подписчик
- 29 февр.
- 83 просмотра
0

ответов
Symfony

+1 ещё

Простой
Какая сущность в symfony security и Lexik JWT Bundle проверяет логин/пароль при входе?
- 1 подписчик
- 19 янв.
- 56 просмотров
1

ответ
PHP

+1 ещё

Простой
Использовать ли jwt-токены для межсерверной аутентификации?
- 1 подписчик
- 26 дек. 2023
- 92 просмотра
2

ответа
Показать ещё Загружается…

Руководитель отдела маркетинга

TolkaDigital

от 120 000 ₽

Middle/Senior DBA

СберТех • Москва

До 400 000 ₽

Frontend Developer

Aporia • Севастополь

от 100 000 до 200 000 ₽

Нарисовать персонажа и отрисовать меню

07 мая 2024, в 16:41

5000 руб./за проект

Написания текст, для товарного маркетплейса

07 мая 2024, в 16:36

200 руб./в час

Вёрстка web app тг бота

07 мая 2024, в 15:47

12000 руб./за проект

если проверять, то в чем смысл использования токена? проще тогда просто идентификатор сессии, по которому уже подтягивать всю инфу, как по юзеру, так и по сессии
Валидный токен доказывает лишь то, что информация в нём не была модифицирована.
FanatPHP, c refresh так и делаю, кладу в payload id сессии.
А если это будет access token (для него отдельной сессии не создается)? - его особой необходимости нет хранить в БД.
Сергей delphinpro, а если в нем есть id пользователя, это не означает, что пользователь существует?
lexstile, Вы сами записываете этот ID в токен. Если токен валиден, то это значит, что данные в нем (ID) именно те, которые вы записали, и косвенно это доказывает существование пользователя. Ведь вы записали туда существующего пользователя. Однако, пользователь, например, может быть удален из базы.
ну вот и надо определиться - есть необходимость или нету необходимости
обычно в любой системе авторизации предусмотрено изменение уровня доступа, в просторечии - "бан".
если такой функционал не предусмотрен, то можно использовать и стильный модный молодёжный токен JWT
если же такой функуционал требуется, то смысла в использовании токенов примерно ноль.
потому что тогда все равно надо прочитать сессию при каждом обращении, а если читаем сессию, то хранить инфу в токене становится бессмысленно
FanatPHP, в моем случае разделения прав не будет - есть зарегистрированный пользователь и гость, на этом все.
Вот и пытаюсь понять, нужна ли проверка на существование пользователя в БД.
То, что юзер заблокирован и у него нет полномочий - это другой кейс.
Сергей delphinpro, в общем, проверять и не париться, понял, благодарю.
В моем случае пользователь может быть удален только в случае сбоя программы, взлома и т. п.
Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Почему же несуществующим? Можно с ID админа, например =) Но кража секретного ключа это уже другой вопрос.
Сергей delphinpro, так админ существует в БД, по сути, проверка на существование и не нужна в этом кейсе.
Она только подтвердит, что пользователь существует в БД.

Answer 1 · 2022-01-04 23:22:44

Sergey @KingstonKMS

Естественно надо

Ответ написан более двух лет назад

Комментировать

Если токен валидный, нужна ли проверка на существование в БД юзера?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт