stenfordskyANAУ JWT есть ещё и пейлоад. Иди-ка сам почитай :)
ага, зашифрованный вместе с остальными его частями
Нет:

BASE64URL(UTF8(JWS Protected Header)) || '.' ||
BASE64URL(JWS Payload) || '.' ||
BASE64URL(JWS Signature)

eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9
.
eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFt
cGxlLmNvbS9pc19yb290Ijp0cnVlfQ
.
dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk

RFC 7515

Petro123это обычное решение в интранет приложениях.С чего это оно обычное?
Вот у нас на работе в интранет такие приложений как Confluence, Jira. И знаешь никто не жмёт в переговорках галку "Запомнить меня".
Потому как люди не любят этого делать вне их рабочего места.

Petro123 Вопрос - как регулируется серверная сессия напр. до 8 часов? Что значит регулируется? Какую потребность закрывает это регулирование? Поясни.

stenfordskyANAпропущено...

Нет:

BASE64URL(UTF8(JWS Protected Header)) || '.' ||
BASE64URL(JWS Payload) || '.' ||
BASE64URL(JWS Signature)

eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9
.
eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFt
cGxlLmNvbS9pc19yb290Ijp0cnVlfQ
.
dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk

RFC 7515
слово "зашифрованный" в моем посте не увидел или предпочел не заметить? Знаешь чем зашифрованный токен от незашифрованного отличается?
Так это ты про подпись пишешь:
SignatureTo create the signature part you have to take the encoded header, the encoded payload, a secret, the algorithm specified in the header, and sign that.

For example if you want to use the HMAC SHA256 algorithm, the signature will be created in the following way:

Petro123skyANAпропущено...
С чего это оно обычное?
Вот у нас на работе в интранет такие приложений как Confluence, Jira. И знаешь никто не жмёт в переговорках галку "Запомнить меня".
Потому как люди не любят этого делать вне их рабочего места.
зачем галка?
Эта архитектура как у обычного десктопа, если там 50-100 чел работают.
Ты не уходи в архитектуру от вопроса.Затем, чтобы пользователь сам решал, где его запоминать, а где нет.

Это мы с тобой айтишники и знаем, что надо разлогинится, когда на чужой машине работаешь.
А рядовые пользователи этого не понимают.

Petro123skyANAКакую потребность закрывает это регулирование? Поясни.
20 раз пояснял:
авторДобрый день!
Сейчас после авторизации данные пользователя и подключения к бд записываются в сессию. Но по истечению определенного времени сессия истекает
Дык куки прекрасно решают эту проблему явно более гибким способом.

Petro123skyANAДык куки прекрасно решают эту проблему явно более гибким способом.
ты неисправим.
Тебя не спрашивают, надо ли менять архитектуру проекта у ТС.
Тебе уже привели пример с холодильником.
Мир шире чем варианты в твоей голове.
Флудер ты).Я не предлагаю менять архитектуру. Я пишу о том, что можно было обойтись и без написания своего велосипеда.
А флудер - это ты. Я хотел вернуться к разговору с автором топика по его теме, а ты вместо темы и аргументов по ней, начал меня обсуждать.
Вообщем в игнор тебя.

stenfordskyANAТак это ты про подпись пишешь:

ну какая подпись? Ведь действительно не знаешь о чем пишешь. Подпись тут только гарантирует что токен не изменен кем-то по дороге, т.к. хэш можно возсоздать только имея ключ. Это к шифрованию вообще не относиться, токен в таком виде может прочитать кто угодно (только изменить не может). Для того, что-бы токен еще и прочитать никто не смог его дополнительно шифруютДак ведь не обязательно шифруют. Если SSL, то зачем ещё дополнительно что-то шифровать?

JWT can be:

signed (JWS - RFC7515 ) encrypted (JWE - RFC7516 ) signed then encrypted (in this order only). The whole JWS is the payload of the JWE

ilshatkin,

ещё раз: я не предлагаю Вам прямо сейчас отказываться от Вашего решения, а пишу о том какие могут быть проблемы и какие есть ещё варианты

ilshatkin,

также предположу, что Вы разграничиваете права пользователей на уровне БД, иначе зачем для каждого из них формировать свою строку подключения и сохранять в Session?

stenfordskyANAДак ведь не обязательно шифруют. Если SSL, то зачем ещё дополнительно что-то шифровать?
затем, что https может отсутствовать. А даже если и присутствует, то шифрование токена обеспечивает доп. защиту. Сейчас https повсюду, но это почему-то не мешает использовать токены с подписями. Ведь подпись тоже не нужна если https, верно? ;)Короче... JWT токен не обязательно шифрованный - это факт.

А споришь ты скорее всего из-за того, что я тебя задел в какой-то твоей теме, например в этой: Оптимизация отклика от IIS .
Если так, то извини, не хотел.

Petro123skyANAilshatkin,
также предположу, что Вы разграничиваете права пользователей на уровне БД, иначе зачем для каждого из них формировать свою строку подключения и сохранять в Session?
да!
Скажи что это зло и надо срочно всё переписать. Т.к. могут быть проблемы.Послушай, я пытаюсь разобраться в проблеме автора топика.
Может не будешь мешать? Или пора попросить модератора принять меры?

Подруга, не гони!

К примеру вот тут я полностью согласен с Сахаватом: 21084841

А тут с Хвостом: 21081407