Задать вопрос
@MrProper5050
Backend developer
идентификация-пользователей

Как лучше сделать авторизацию пользователей через JWT?

Я думаю так: пользователь отправляет свои данные - проходит проверку на сервисе авторизации - генерируется access_token - записывается в БД, в которой хранятся "сессии" - access_token отправляется пользователю.
Но дело вот в чём, пользователь хочет получить доступ к защищённому ресурсу, проходит криптографическую проверку jwt, роль, время действия токена и нужно же ещё обратиться к БД с сессиями, чтобы узнать есть ли там эта сессия, активная ли она. Думаю такой подход позволит сделать сделать хорошую защиту от украденных куков. Но постоянно обращаться к БД из мидлваря это как-то слишком затратно.
Есть ли какой-нибудь нормальный способ сделать возможность сбрасывать все активные сессии к аккаунту и делать проверку на активность сессии?
  • Вопрос задан
  • 178 просмотров
1 комментарий
Подписаться 3 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 1
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
Вы путаете JWT и сессии. Вся суть JWT в том, что в БД ничего писать не надо. Если вам нужно трекать пользовательские сессии и скидывать их, то JWT вам не подходит.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист технической поддержки (работа из офиса г.Казань)
Данафлекс Казань
от 60 000 ₽
Senior ML Engineer (Computer Vision)
Gradient
от 450 000 ₽
Оператор 1-я, 2-я линия техподдержки(поддержка клиентов)
MYRTEX
от 40 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Поменять пароль root пользователя mysql
01 мая 2024, в 23:44
1000 руб./за проект
Модифицировать android приложение
01 мая 2024, в 23:25
2000 руб./за проект
Разработка онлайн казино слот-машины "Клубника" Pixi.js или Three.js
01 мая 2024, в 23:05
1500 руб./в час
Ещё заказы