Autentykacja w API - "zwykły" klucz vs JWT

Piszę na Symfony proste API z autoryzacją, podpatrzyłem różne tutoriale i właściwie nie mogę skumać, czemu jeden korzysta z JWT by wygenerować długi token w którym zahashowane jest username, zamiast wygenerować sobie jakiś losowy klucz md5.

Czy JWT daje jakieś lepsze zabezpieczenie obok trzymania np. apiKey przy userach w tabeli i przesyłania tego właśnie apiKey które user poznaje po zalogowaniu jako jeden z nagłówków?

Dla mnie obie metody wymagają bezpiecznego połączenia, inaczej są równie podatne na ataki.

Jak to się robi the right way? Jakie są zalety JWT? To naprawdę proste api (kilka zasobów), ale dane dość wrażliwe.

Odpowiadam dla potomnych: obie metody są równie dobre, ale inne.

JWT daje możliwość umieszczenia w golenie informacji, którym zaufasz (np. username) i odpada wtedy konieczność sprawdzania tego w bazie - redukujemy liczbę zapytań. Minusem jest minimalnie większy request i brak możliwości odebrania dostępu na poziomie pojedynczego requestu (zależy od implementacji, ale jeśli chcemy ograniczyć liczbę zapytań to tak) - korzystamy raczej z daty ważności tokena i refresh tokena dla wygenerowania nowego

Golenie = tokenie, słownik :)

Mnie zawsze przestrzegali pzed uzywaniem JWT, polecam Oauth2

Uwierzytelnianie! Nie ma takiego slowa jak Autentykacja...

Liczba odpowiedzi na stronę

Autentykacja w API - "zwykły" klucz vs JWT

1 użytkowników online, w tym zalogowanych: 0, gości: 1

Praca dla programistów

Forum dyskusyjne

Sprawy administracyjne

O nas

Skontaktuj się z nami