Что лучше всего использовать для аутентификации, если данные пользователя могут изменится в любой момент?

Question

[Владимир Голубь]

В данный момент использую jsonwebtoken, bcrypt. После проверки пароля и логина. Дай каждому пользователю токен и заношу его в куки (время жизни сессии 1 сутки). Появилась задача с тем, что можно блокировать пользователя. Какую стратегию выбрать в данном случае. В токен заносить id пользователя и каждый раз делать запрос к БД для получения информации или вести черный список токен, но опять же БД придется очищать и каждый раз делать запрос. Может есть более лучшее решение ?

Comments

[Алексей Ярков]

Если навскидку, то я бы в Redis писал черный список id. Но я не настоящий бэкендер, так что подпишусь и послушаю.
ИМХО сутки многовато.

Answer 1

[ettychel]

Ну первое - очень долгая жизнь акссесс. поставьте ну хотя бы 2 часа.
Второе - попробуйте использовать готовое решение в виде сервера аутентификации, вам не надо заморачиваться с токенами и их валидацией и вообще станет намного проще всё. Этот сервер также может авторизовать и вообще функционал огромный. Там и все модели выдачи прав доступа и подключение других поставщиков идентификации, в общем изучайте и с удовольствием пользуйтесь.

P.s. примерно год назад я искал как лучшим образом осуществить аутентификацию и авторизацию у себя и Иван Шумов подсказал в каком направлении идти, с тех пор юзаю и наслаждаюсь)

P.s. P.s. На первых этапах знакомства с инструментом наблюдается резкое обострение облысения))

Comments

[Иван Шумов]

Приятно когда тебя вспоминают хорошими словами)

[ettychel]

Иван Шумов, ну так не за просто так) Мне keycloak уже в стольких проектах помог))

[Иван Шумов]

ettychel, это прекрасно) тем более что инструмент действительно хороший, главное набить руку