Если токен валидный, нужна ли проверка на существование в БД юзера?

Question

lexstile @lexstile

JSON Web Token

Если токен валидный, нужна ли проверка на существование в БД юзера?

Нужно ли делать проверку на существование пользователя в БД при проверке токена JWT?
Или валидный токен сам по себе служит доказательством существования пользователя?

Пример, в payload я храню id юзера.
Нужно ли делать проверку на существование пользователя с указанным id в БД?

Как я понимаю, это лишний кейс?
Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Вопрос задан более трёх лет назад
160 просмотров

10 комментариев

Подписаться 2 Простой 10 комментариев

FanatPHP @FanatPHP

если проверять, то в чем смысл использования токена? проще тогда просто идентификатор сессии, по которому уже подтягивать всю инфу, как по юзеру, так и по сессии

Написано более трёх лет назад
Сергей delphinpro @delphinpro

Валидный токен доказывает лишь то, что информация в нём не была модифицирована.

Написано более трёх лет назад
lexstile @lexstile Автор вопроса

FanatPHP, c refresh так и делаю, кладу в payload id сессии.
А если это будет access token (для него отдельной сессии не создается)? - его особой необходимости нет хранить в БД.

Написано более трёх лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, а если в нем есть id пользователя, это не означает, что пользователь существует?

Написано более трёх лет назад
Сергей delphinpro @delphinpro

lexstile, Вы сами записываете этот ID в токен. Если токен валиден, то это значит, что данные в нем (ID) именно те, которые вы записали, и косвенно это доказывает существование пользователя. Ведь вы записали туда существующего пользователя. Однако, пользователь, например, может быть удален из базы.

Написано более трёх лет назад
FanatPHP @FanatPHP

ну вот и надо определиться - есть необходимость или нету необходимости
обычно в любой системе авторизации предусмотрено изменение уровня доступа, в просторечии - "бан".
если такой функционал не предусмотрен, то можно использовать и стильный модный молодёжный токен JWT
если же такой функуционал требуется, то смысла в использовании токенов примерно ноль.
потому что тогда все равно надо прочитать сессию при каждом обращении, а если читаем сессию, то хранить инфу в токене становится бессмысленно

Написано более трёх лет назад
lexstile @lexstile Автор вопроса

FanatPHP, в моем случае разделения прав не будет - есть зарегистрированный пользователь и гость, на этом все.
Вот и пытаюсь понять, нужна ли проверка на существование пользователя в БД.
То, что юзер заблокирован и у него нет полномочий - это другой кейс.

Написано более трёх лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, в общем, проверять и не париться, понял, благодарю.
В моем случае пользователь может быть удален только в случае сбоя программы, взлома и т. п.

Написано более трёх лет назад
Сергей delphinpro @delphinpro

Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Почему же несуществующим? Можно с ID админа, например =) Но кража секретного ключа это уже другой вопрос.

Написано более трёх лет назад
lexstile @lexstile Автор вопроса

Сергей delphinpro, так админ существует в БД, по сути, проверка на существование и не нужна в этом кейсе.
Она только подтвердит, что пользователь существует в БД.

Написано более трёх лет назад

Помогут разобраться в теме Все курсы

Яндекс Практикум

Инженер по тестированию

5 месяцев

Далее
Компьютерная академия «TOP»

Разработка на Python

1 год

Далее
Слёрм

Python для инженеров

3 месяца

Далее

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

JSON Web Token

Простой
Как вовремя обновлять access-токен на стороне фронтенда?
- 1 подписчик
- 25 мар.
- 166 просмотров
1

ответ
C#

+1 ещё

Простой
Esia/Есиа — Почему не приходит refresh_token?
- 4 подписчика
- 18 мар.
- 430 просмотров
0

ответов
Spring

+2 ещё

Простой
Как и где правильно хранить пару ключей RSA в микросервисах Spring приложений?
- 1 подписчик
- 17 янв.
- 106 просмотров
1

ответ
JSON Web Token

Простой
Для чего refresh токен нужен?
- 1 подписчик
- более года назад
- 199 просмотров
2

ответа
JSON Web Token

Простой
Можно ли обойти аутентификацию JWT, если знаешь секретное слово, но не знаешь timestamp?
- 1 подписчик
- более года назад
- 215 просмотров
1

ответ
PHP

+2 ещё

Простой
Как работает аутентификация Laravel Sanctum и что лучше JWT или Sanctum?
- 1 подписчик
- более года назад
- 230 просмотров
1

ответ
ASP.NET

+1 ещё

Средний
По какой причине jwt токен не валидный?
- 3 подписчика
- более года назад
- 557 просмотров
1

ответ
PHP

+2 ещё

Простой
Куки и jwt токен как с этим работать?
- 1 подписчик
- более года назад
- 270 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- более года назад
- 156 просмотров
0

ответов
Фронтенд

+1 ещё

Простой
Как понять токен рефрешится или нет?
- 1 подписчик
- более года назад
- 318 просмотров
2

ответа
Показать ещё Загружается…

React разработчик

ITK academy • Нижний Новгород

от 50 000 до 90 000 ₽

Junior React Developer

ITK academy • Казань

от 50 000 до 90 000 ₽

DevOps-инженер в команду управления доступами

SMALL

от 4 700 до 5 700 $

если проверять, то в чем смысл использования токена? проще тогда просто идентификатор сессии, по которому уже подтягивать всю инфу, как по юзеру, так и по сессии
Валидный токен доказывает лишь то, что информация в нём не была модифицирована.
FanatPHP, c refresh так и делаю, кладу в payload id сессии.
А если это будет access token (для него отдельной сессии не создается)? - его особой необходимости нет хранить в БД.
Сергей delphinpro, а если в нем есть id пользователя, это не означает, что пользователь существует?
lexstile, Вы сами записываете этот ID в токен. Если токен валиден, то это значит, что данные в нем (ID) именно те, которые вы записали, и косвенно это доказывает существование пользователя. Ведь вы записали туда существующего пользователя. Однако, пользователь, например, может быть удален из базы.
ну вот и надо определиться - есть необходимость или нету необходимости
обычно в любой системе авторизации предусмотрено изменение уровня доступа, в просторечии - "бан".
если такой функционал не предусмотрен, то можно использовать и стильный модный молодёжный токен JWT
если же такой функуционал требуется, то смысла в использовании токенов примерно ноль.
потому что тогда все равно надо прочитать сессию при каждом обращении, а если читаем сессию, то хранить инфу в токене становится бессмысленно
FanatPHP, в моем случае разделения прав не будет - есть зарегистрированный пользователь и гость, на этом все.
Вот и пытаюсь понять, нужна ли проверка на существование пользователя в БД.
То, что юзер заблокирован и у него нет полномочий - это другой кейс.
Сергей delphinpro, в общем, проверять и не париться, понял, благодарю.
В моем случае пользователь может быть удален только в случае сбоя программы, взлома и т. п.
Придумал только случай, когда украли SECRET_KEY и и создали свой JWT с несуществующим id, только зачем?

Почему же несуществующим? Можно с ID админа, например =) Но кража секретного ключа это уже другой вопрос.
Сергей delphinpro, так админ существует в БД, по сути, проверка на существование и не нужна в этом кейсе.
Она только подтвердит, что пользователь существует в БД.

Answer 1 · 2022-01-04 23:22:44

Sergey @KingstonKMS

Естественно надо

Ответ написан более трёх лет назад

Комментировать

Если токен валидный, нужна ли проверка на существование в БД юзера?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт