Хакатон-клуб

26 Mar 2023 17:32

Сори я не заметил что ты про публичный

Хакатон-клуб

26 Mar 2023 17:30

С помощью публичного ключа невозможно сгенерировать токен

Хакатон-клуб

26 Mar 2023 17:29

Ага и засветишь ключ и дескредетируешь всю систему

Хакатон-клуб

26 Mar 2023 17:04

Ну я никогда не видел таких реализаций, только в теории об этом знаю)

Хакатон-клуб

26 Mar 2023 17:03

Но в теории возможно

Хакатон-клуб

26 Mar 2023 17:03

на фронте то зачем, подскажите?

Хакатон-клуб

26 Mar 2023 17:02

И публичный для проверки его валидности

Хакатон-клуб

26 Mar 2023 17:02

Нужно проверять валидность токена

Хакатон-клуб

26 Mar 2023 16:57

Вот именно, что на практике - никак, но если у тебя под рукой есть сид, то ты ведь можешь модифицировать, но я тогда не понимаю, как это может быть принезтией к JWT, если использовать для модификации пейлоада части механизма, недоступные клиенту

Хакатон-клуб

26 Mar 2023 16:51

А как это возможно?)

Хакатон-клуб

26 Mar 2023 13:47

Так что значит в твоем понимании «подменить токен»? Если ты украл чей-то валидный JWT токен, то естественно, что ты будешь пользоваться привелегиями, которые на нем есть, даже учетной записью его владельца, в чем тут проблема?

Если ты говоришь о том, что ты изменил пейлоад в токене, то сделать это без ключа генерации - невозможно, токены криптостойкие и только сервер может расшифровать их, на клиенте это сделать невозможно

Хакатон-клуб

25 Mar 2023 19:01

ну мы тут сидим и ждём чуда)

Хакатон-клуб

25 Mar 2023 18:42

это теллепорт в иные миры

Хакатон-клуб

25 Mar 2023 18:38

Не совсем понятно тогда как мониторить в middleware доступ к хендлеру в зависимости от того, какая роль у человека

Хакатон-клуб

25 Mar 2023 18:35

Можете, пожалуйста, поделиться проектами, где у вас реализована подобная структура с ролями и middleware

Хакатон-клуб

26 Mar 2023 17:30

Только проверить подпись

Хакатон-клуб

26 Mar 2023 17:30

Все что лежит у тебя на фронте, может использовать любой человек

Хакатон-клуб

26 Mar 2023 17:15

Спасибо за помощь, это ошибка у меня была

Хакатон-клуб

26 Mar 2023 17:04

ок. а то думал, может я какой то пласт пропустил

Хакатон-клуб

26 Mar 2023 17:03

Редко нужно на самом деле

Хакатон-клуб

26 Mar 2023 17:03

Тогда и на фронте сможешь проверить валидность и в других микросервисах, без выдачи приватного ключа

Хакатон-клуб

26 Mar 2023 17:02

И юзать rsa приватный ключ для создания токена

Хакатон-клуб

26 Mar 2023 17:01

Так то payload токена не шифрованный.. Он в base64

Хакатон-клуб

26 Mar 2023 16:51

Нужен ведь как минимум секрет_кей, который в токен зашивается, а он только на сервере хранится обычно

Хакатон-клуб

26 Mar 2023 13:48

Если ты можешь с клиента менять пейлоад, то у тебя тут нет криптостойкости и ты где-то что-то сделал не так

Хакатон-клуб

26 Mar 2023 13:08

Я сделал роль в пейлоаде, теперь когда я подменяю токен и указываю другую роль, я могу пользоваться привелегиями этой новой роли(
Нужно ли как-то делать проверку сигнатуры? Потому что она тоже меняется, и несмотря на это токен валидируется

Хакатон-клуб

25 Mar 2023 18:59

Добрый вечер. Имеется 50 милионов крипто-адрессов, каждый нужно проверить на наличие транзакций в определенных сетях. Единственный вариант использовать большое количество прокси и отправлять запросы? Или есть более рационнальное решение?

Хакатон-клуб

25 Mar 2023 18:41

'nj ntktgjhn d byst vbhs

Хакатон-клуб

25 Mar 2023 18:37

https://github.com/auth0/go-jwt-middleware

Хакатон-клуб

25 Mar 2023 18:34

Посоны - идём на хакатон ЛЦТ, нужен в комманду программер Go чтобы сделать сервер. Кто готов практично влиться в комманду?)