Cześć. Nie wiem czy to jest dobre miejsce na takie pytanie ale robię to w springu więc, piszę tutaj. Ostatnio uczyłem się i zaimplementowałem jwt z użyciem refresh tokenów. Wszystko fajnie, refresh tokeny trzymam w bazie danych jako UUID, po stronie klienta trzymam w ciasteczku httpOnly i sameSite a jwt w pamięci. Tylko teraz mnie naszła taka rzecz. Czy to JWT jest mi do czegoś potrzebne? Nie mógłbym w sumie bazować na samym refresh tokenie i przy każdym zapytaniu do serwera pobierać na jego podstawie dane o userze z bazy i dawać mu dostęp na podstawie tych danych lub nie a po stronie klienta trzymać tak jak pisałem w ciasteczku httpOnly i sameSite? Nie było by lepiej i łatwiej? Pojawia się dodatkowe zapytanie do bazy zawsze jedynie.
0
1
JWT na frontendzie to hipsterska moda. Skoro i tak są stanowe (bo te do zewnętrznego użycia muszą być) to czemu nie użyć zwykłych ciastek z ID sesji? Nie musisz trzymać metadanych o zalogowanych użytkownikach w bazie SQLowej, możesz trzymać w Redisie (czy innym key-value store), który jest znacznie szybszy niż SELECTy z typowych baz danych.
1
secrets management - HashiCorp Vault, albo Redis. ( @Pinek: "A co z połączeniami service-to-service?" )
Vault niesamowity kombajn i bardzo wydajny.
0
np. do cross app/server auth