@MrProper5050
Backend developer

Как лучше сделать авторизацию пользователей через JWT?

Я думаю так: пользователь отправляет свои данные - проходит проверку на сервисе авторизации - генерируется access_token - записывается в БД, в которой хранятся "сессии" - access_token отправляется пользователю.
Но дело вот в чём, пользователь хочет получить доступ к защищённому ресурсу, проходит криптографическую проверку jwt, роль, время действия токена и нужно же ещё обратиться к БД с сессиями, чтобы узнать есть ли там эта сессия, активная ли она. Думаю такой подход позволит сделать сделать хорошую защиту от украденных куков. Но постоянно обращаться к БД из мидлваря это как-то слишком затратно.
Есть ли какой-нибудь нормальный способ сделать возможность сбрасывать все активные сессии к аккаунту и делать проверку на активность сессии?
  • Вопрос задан
  • 179 просмотров
Пригласить эксперта
Ответы на вопрос 1
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
Вы путаете JWT и сессии. Вся суть JWT в том, что в БД ничего писать не надо. Если вам нужно трекать пользовательские сессии и скидывать их, то JWT вам не подходит.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы