Как корректно авторизировать пользователя по JWT в express?

Question

[riksisharakshas]

Друзья, перерыл кучу статей, везде полупримеры или passport-jwt(без рефреш токена), пожалуйста, дайте ссылку на корректный(подразумеваю максимально близкий к продакшену) пример кода по: авторизации пользователя, обновления стухшего токена по refresh токену и защите определенных путей проверкой данной авторизации. Буду очень благодарен.

Answer 1

[crdrads]

Такой ссылки не будет, потому что НИКТО в продакшене не использует JWT для авторизации (кроме нубов). Это существует только в статьях проплаченных провайдерами услуг (так Auth0 и Firebase находят себе клиентов). JWT - это не про авторизацию в приложении, это для микросервисов.

Comments

[Иван Шумов]

Ошибка. Хватает подобных проектов и в проде и у нас приживается понемногу. Ничего плохого в этом решении нет, как хорошего. JWT просто не для аутентификации - это просто формат токена и относиться к нему надо соответственно

[Sergei R]

Пока что все споры на эту тему сводятся к тому, что зачем юзать jwt когда есть сессии и что якобы jwt повторяет функционал сессии если хранить что то в бд для идентификации токена.
Но если jwt становится равен сессии, то чем он лучше или хуже сессии?
Но правильное использование jwt подразумевает работу без обращения в БД.