nrgian, Спасибо вам))) Я пока размышлял над вопросом понял что публичным ключем же тоже можно инфу из токена вытащить))) А так дальше знаю как) Спасибо за скорый ответ
Еще вопрос. Т.е. по факту если злоумышленник завладеет токеном то я никак не смогу проверить например по IP? По факту токен генерируется секретным ключем, и просто проверка лишь идет на валидность данного токена, но по факту я не проверяю именно пользователя?
Как обойти подобную проблему?
rPman, Интересно, спасибо большое. Тогда могу еще вопрос задать касательно токена. Можно ли создавать токен без времени жизни? Просто мне кажется для мобильных систем это актуально. Или же как делать? Генерить два токена, например access токен и refresh токен. И при истечении время жизни access токена, при авторизации просто отправлять refresh токен? Но рефреш токен же тоже имеет свое время жизни? Как в мобильных приложениях обойти проблему истечения время жизни токена, чтобы была беспрерывная авторизация?
Хмм, тогда встречный вопрос. Просто в монолите как я раньше делал. Был мидлвейр, который проверял айдишник пользователя содержащийся в пейлоуде токена, и так же проверял еще вторичный реквизиты типа уникального айди токена и тд. Вот вопрос, получается токен будет разослан всем сервисам, и каждый сервис должен у себя где-то хранить этот токен, верно?
Владимир, Спасибо за полезные ссылки. Почитал про passport. И в целом достаточно понятно. Но все же для меня остается не закрытым вопрос. Как именно происходит аутентификация без использования сессий на бэке мобильного приложения?
hckn, Нет, все поидее правильно, куки устанавливаются еще в nuxtServerInit. У меня проблема в том, как потом глобально устанавливать куки для axios. Т.е. когда я делаю запрос в функции asyncData через axios, кук просто нет в заголовках. Вот в этом проблема
hckn, Ну вроде бы как asyncData на сервере выполняется. Значит запрос со стороны сервера. У меня в целом заголовок не получается даже установить в axios.