Почему знак равно в cookie заменяется на %3D?

FanatPHP, приходится на декод jwt прогонять лишний раз через:

$header = base64_decode(urldecode($header));
		$payload = base64_decode(urldecode($payload));

Пытаюсь понять, можно ли обойтись без urldecode или нет.

Как правильно организовать архитектуру авторизации/аутентификации?

Благодарю за ответы.

Как сделать редирект через react router dom в асинхронном экшне?

WbICHA, возможно, благодарю, что не остались равнодушны к моей проблеме.
Думаю, вы предложили более правильное решение с параметром - history или history.push.

А если вернуть результат выполнения в компонент и там сделать пуш на нужный урл? (единственное, если бы был не асинхронный экшн, было бы проще)

Как сделать редирект через react router dom в асинхронном экшне?

WbICHA, почему это костыль, а не возможности модуля?

Как сделать редирект через react router dom в асинхронном экшне?

WbICHA, речь не о костылях, конечно же.
Возможно есть рабочие решения.
А когда много аргументов в функции - тяжеловато читать.
Пока сделал так.

Как сделать редирект через react router dom в асинхронном экшне?

WbICHA, кажется, что сам подход не особо - лаконично, когда функция принимает один аргумент.
Через себя переступил, когда диспатч отправил аргументом здесь:

const [execute] = apiShell(callRegister, dispatch);

Как заставить работать пакет randombytes?

twolegs, да, благодарю, единственное - работает только через https))

Как заставить работать пакет randombytes?

Lynn «Кофеман», понял, благодарю, буду копать

Как заставить работать пакет randombytes?

twolegs, в index.js либы есть такая строка:
module.exports = require('crypto').randomBytes
Такого пакета (crypto) в node_modules не нашел.
На npm он как устаревший:

Как заставить работать пакет randombytes?

twolegs,

import { randomBytes } from 'randombytes';
import randomBytes from 'randombytes';

Почему cookies не сетятся через setcookie на php?

Действительно, на повышение сработало.
А на понижение не робит.
Еще раз благодарю!

Почему cookies не сетятся через setcookie на php?

Благодарю за ответ.
Получается, с поддомена на поддомен тоже не засетить?

Как настроить взаимодействие FE (localhost) с BE (remote server) с withCredentials?

Владимир Дубровин, возможно, я только пытаюсь разобраться)

1. Пользователь вводит логин/пароль
   
2. FE отправляет запрос POST /auth/login
   
3. BE проверяет пару логин/пароль и выдает 2 JWT токена - refresh и access (refresh ставит в куку с флагом httpOnly, access должен вернуть на FE, чтобы тот подписывал запросы)
   

Как настроить взаимодействие FE (localhost) с BE (remote server) с withCredentials?

Владимир Дубровин, в моем случае BE проставляет куку, т. к. на FE работать с ними небезопасно.
Плюс, кука будет с флагом httpOnly, ее только с BE можно ставить.

Как настроить взаимодействие FE (localhost) с BE (remote server) с withCredentials?

setcookie('token', '111111', $exp, '/', 'localhost');

Но в Application -> Cookies - пусто.
При последующих запросах $_COOKIE тоже пустой.

Как настроить взаимодействие FE (localhost) с BE (remote server) с withCredentials?

Кука не ставится на localhost со стороннего сервера.

Как установить cookie с помощью php при работе с rest api?

Блин, а я withCredentials: true указал в headers по ошибке. Спасибо большое!
Только теперь с CORS падает. Хотя заголовок выставлен.

header('Access-Control-Allow-Origin: http://localhost:10888');

Как установить cookie с помощью php при работе с rest api?

nokimaro, axios

Как реализовать авторизацию/аутентификацию с помощью access/refresh tokens с использованием JWT?

Большое спасибо за развернутый ответ.

Если вы генерируете токены на сервере, а потом на этом же сервере принимаете запросы, в которых используется Access-токен, вы делаете что-то неправильно, потому что в таких ситуациях городить подобную архитектуру не нужно, и передавать Refresh-токен вместе с Access-токеном API-серверу тоже не нужно, потому что генерация новых токенов — это не его забота.

Под серверами, я так понял, что вы понимаете отдельные сервисы одного сервера? (микросервисная архитектура, например)
Да, я по началу думал о такой реализации:

1. Пользователь делает запрос на BE с истекшим access token.
   
2. BE смотрит, что токен истек и просто перевыпускает его и продолжает работу.
   

Но сейчас получается примерно так:

• FE сначала смотрит, не истек ли access token, если истек, сначала перевыпускает его, а только потом делает необходимые пользователю действия.
  

Вполне можно построить систему так, чтобы Refresh-токен не приходилось хранить в БД на стороне сервера авторизации, потому что все нужные данные можно поместить прямо в payload токена

Тогда не совсем понятно, как пользователю логиниться через несколько браузеров и иметь возможность сбросить все сессии через любой из них.

Хорошая практика — это когда вы передаёте их в хэдере Authorization и больше никак

Единственное, много читал на тему передачи токенов и советуют хотя бы один токен хранить в куке httpOnly, т. к. не будет возможности у злоумышленника прочитать со стороны JS.
Вот большая статья на эту тему, но тем не менее, вопросы после нее не исчезли, к сожалению.

Как обезопасить пароли при регистрации/авторизации?

благодарю за ответ.