А если не подделывать? Ну вот я увидел что у пользователя открыта страничка, зашел и скопировал токен в браузере, потом на своем компе вошел на страничку пофиля и подменил в браузере в куках токен? Я получу доступ к чужой странице?
Да, о таком я и говорил, вопрос в необходимости. Это не банковское приложение)
Ну скажем так - это было в порядке диалога. По факту при работе с токенизаций получить чужие данные крайне сложно. Да и алгоритм шифрования я использую RSA256 - c приватным ключом/сертификатом
Время сеанса автоматически продлевается при каждом запросе или при приближении к expired. Если пользователь отошел попить чайку, это его проблемы. Все делается для безопасности его данных, финансовых средств и т.п.
Можно использовать код "возобновления сеанса". Как с недавних пор делает Сбербанк.
Все верно, так и работает. Expired продлевается автоматически, если юзер активен. Про Айпи я уже ответил - это другой механизм чем описал Арбнет.
Перечитай внимательно. IP проверяется во время создания токена и живет ровно столько же сколько и сессия. Даже получив токен, ты не пройдешь верификацию с другого устройства. А зарегистрированный пользователь может войти откуда угодно. Если ты дома войдешь через домашний инет - окей, если тут же захочешь войти с мобилки - для тебя на устройстве создастся новый токен. Подумаю кстати о хранении сессий, чтобы пользователь мог контролировать входы в свой акк.
Это основы безопасности. Даже для минимума сенситив информации, которая может храниться. Например переписка. Человек отошел от компа, забыв вылогиниться, кто-то пришел, и увидел открытый аккаунт. На одном из проектов у нас было служебное требование - токен живет не более 15 минут. Тут приходится лавировать - удобство или безопасность.
Я немного не про это. Естественно будет и CORS и CSRF токен на фронте. Понятно, что иньекцию в базу сделать невозможно изначально - первое что проверялось. Никакой SQL/js скрипт не выполнится, если попытаться закинуть его в форму. JS обфусцируется. База - за 7 замками. К ней в принципе не будет доступа извне, сейчас, конечно открыта для девелопинга, но даже сейчас ты в жизни в нее не войдешь - доступ через PEM-сертификат.
Вот об этом можем поподробнее поговорить. Как я уже говорил - в этом я не силен. Да, токен лежит в куках, его можно увидеть. И что это даст? как ты этим можешь воспользоваться? Там есть только userID/username и права юзера. Что это тебе даст?Про хеш, извини не понял, можешь обьяснить?
А сколько хочешь? Можем договориться, если ты такой меркантильный))) Находишь дыру - плачу) Причем чем быстрее - тем больше)
Не планируется под РФ вообще. Под русскоязычную аудиторию - да, в том числе.
В очередной раз - я не занимаюсь сайтами. Это сервис по поиску клиентов. Веб-сервис, андроид и айфон приложения. Поэтому сразу и пишется через АПИ, на Пайтон и Java
Бутстраповский слайдер подключается в 2 клика и настраивается как угодно, включая бесконечную прокрутку. Если ты не в состоянии прочитать элементарный код - стоит ли его использовать? Вдруг там зашито невесть что? Возьми нормальное, проверенное решение.
https://getbootstrap.com/docs/5.3/components/carousel/
Для редактора кода????
25 Евро за кг голландского сыра дорого? Ты не путай его недосыром из подмосковных колхозов! в голландии он от 15 евро
Там не написано, что ее в чешуе жарят.
Ну блин, может лео любит чешую, отстаньте уже он него)))
