Супер-динамичные сайты?

Mikhail Artunin, 100к в секунду - это не нагрузка (для справки)

Супер-динамичные сайты?

Mikhail Artunin, 2-е.

SPA и REST API - как грамотно построить аутентификацию?

DTX, кстати, вот про что я говорил выше (подтверждение вот прям из ответа motomac ):

Время жизни JWT-токена лучше ставить небольшое (например, 1 час), потому что отозвать его нельзя.

В этом главный минус JWT. Т.к. если украдут - то всё...

SPA и REST API - как грамотно построить аутентификацию?

DTX, я просто для понимания задам встречный вопрос: что Вы называете куками, а что идентификатором устройства?

SPA и REST API - как грамотно построить аутентификацию?

DTX, 1. Допустим, AuthHash привязан к устройству на основе возможностей (device capability) и AuthHash - не так просто украсть из кук браузера, если выставлен флаг http security - такие не получить через JS, но получить через http-запрос с сервера.
2. Все протухшие токены - ВООБЩЕ не проблема. Это происходит автоматом: диалог клиента с сервером без участия юзера. Если как на картинке - то по цепочке токены перевыписываются и передача продолжается.
3. Да, и это намного лучше, чем jwt однозначно, т.к. это наиболее гибкое, простое и надёжное решение.

Что вы для себя взяли из php7?

Максим Осадчий, я использую всё. Т.к. это даёт выигрыш в производительности в любом случае.

Есть ли книга алгоритмы в примерах и задачах?

artshelom, википедии хватит с головой!

SPA и REST API - как грамотно построить аутентификацию?

DTX,
1. Почему не подойдёт? ClientID=DeviceID. IP можно привязывать как подсеть, а не как IP-адрес. А подсеть - можно получить от провайдера и т.д. Можно не привязывать к IP вообще. Это вопрос уже реализации клиента.
2. Если ответ не получен и соединение открыто - значит его по факту нет и он не вступил в силу на сервере. Старый ключ - работоспособен до тех пор, пока сервер не завершит передачу нового на клиент и не закроет соединение.
6. Токен живёт ровно столько, сколько нужно Вам.

Есть ли книга алгоритмы в примерах и задачах?

artshelom, ИМЕННО ЗДЕСЬ - не поможет тут индус!)))))

Есть ли книга алгоритмы в примерах и задачах?

artshelom, ну так учите! Они там все описаны)

Есть ли книга алгоритмы в примерах и задачах?

artshelom, ну осталось открыть википедию и почитать! :)

Есть ли книга алгоритмы в примерах и задачах?

artshelom, отлично! А НС с чего начнём учить?

SPA и REST API - как грамотно построить аутентификацию?

DTX,
1. Ключ привязывается к клиенту (ClientID, например к подсети или ID-устройства и т.д.). Как доп. защита, на сервере создаётся поведенческий фильтр (на всякий случай), например тот, кто украл ключ решил зайти с той же сети, но ночью.
Сервер попросит пересоздать ключ на основе текущего, а вот тут уже нужен чистый логин и пароль, которого на устройстве нет)
2. Ключ может быть отозван любым другим клиентом (клиент - это ПО) после успешной авторизации или сервером по любому событию. Ключ - это публичный ключ сервера привязанный к конкретному клиенту (НЕ К АККАУНТУ!)
3. Получит ошибку - да. Заново - у клиента уже есть новый хеш (в памяти). Ему нужно переподписать новым и повторно отправить тот же запрос к API.
6. С токеном сессии - уже можно поступать как душе угодно, в зависимости от криптостойкости алгоритма и важности передаваемых данных. Можно хоть каждый запрос его менять (если это необходимо), так называемый chain-token. Можно попросить сервер выдать новый с клиента, а может сервер сказать, что по какой-то причине (не важной для клиента), он просит сменить токен сессии.
Тоже самое - с таймаутами. Но достаточно обычно в 5-10 секунд таймаут ставить для токена между пакетами. И более - для более длинных цепочек обмена без смены.

Есть ли книга алгоритмы в примерах и задачах?

artshelom, отлично! с чего начнём?!

SPA и REST API - как грамотно построить аутентификацию?

DTX,
1. Данные авторизации храним в хешированном виде (AuthHash) на клиенте после хотя бы одной успешной авторизации, которые хешируем присланным от сервера ключом клиента с лимитированным временем использования.
2. Когда авторизуемся повторно - мы отсылаем AuthHash и подписываем достоверность ключом сервера. Если подпись верна и ключ не отозван на сервере - клиент считается авторизованным и сервер возвращает токен сессии для дальнейшей подписи всех сообщений в данной сессии этим токеном.
3. При обмене данными - сервер может вернуть новый токен сессии. Это означает, что все последующие запросы должны подписываться уже им.
4. Параллельные запросы: если сервер поменял токен - все активные запросы завершаются со старым, все последующие или не успевшие пройти валидацию на сервере со старым токеном - пересоздаются с новым токеном.
5. Для предотвращения перебора, используется два параметра: RANDOM и TIMESTAMP. Они всегда участвуют в каждом формировании запроса к API вместе с данными payload (полезная нагрузка: именно работа с API).

Какие варианты защиты, кто пробовал, Обфускация JavaScript?

AlikDex,

Или вы считаете, что опытный человек с рейтом 50 в час, взявший заказ и выполнивший его за 2 часа равноценен джуну, который стоит 5 в час и выполняющий эту же работу 20 часов? Категорически не согласен. Одно из свойств услуги - имеют индивидуальный характер оказания. Таким образом в конечном итоге трудоемкость задачи будет определятся тем, кто будет выполнять эту работу на основании его знаний и опыта в решении подобных задач.

Так я именно про это и говорю! Формулу внимательно посмотрите ещё раз!

SPA и REST API - как грамотно построить аутентификацию?

DTX, а причём тут jwt тогда?)))

SPA и REST API - как грамотно построить аутентификацию?

DTX, мы сейчас про что говорим? про мою статью или про jwt ?!

SPA и REST API - как грамотно построить аутентификацию?

DTX, нет. это схема вопроса)
Ладно, вот нашел готовую:

Долго ли можно не заморачиваться с продажами на сайте без оформления юрлица?

Дмитрий Энтелис, а-а.. ну да. так всё верно.