#jwt — Public Fediverse posts

JWT: Just a #Wobbly Trick! 🤡 It's less about authenticating and more about complicating. But hey, if you love slow, leaky, unmanageable code with a side of developer confusion, #JWT is truly your jam! 🚀🔧
https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it #Trick #DeveloperConfusion #CodeQuality #SoftwareDevelopment #HackerNews #ngated

JWT: Just a #Wobbly Trick! 🤡 It's less about authenticating and more about complicating. But hey, if you love slow, leaky, unmanageable code with a side of developer confusion, #JWT is truly your jam! 🚀🔧
https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it #Trick #DeveloperConfusion #CodeQuality #SoftwareDevelopment #HackerNews #ngated

JWT: Just a #Wobbly Trick! 🤡 It's less about authenticating and more about complicating. But hey, if you love slow, leaky, unmanageable code with a side of developer confusion, #JWT is truly your jam! 🚀🔧
https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it #Trick #DeveloperConfusion #CodeQuality #SoftwareDevelopment #HackerNews #ngated

JWT: Just a #Wobbly Trick! 🤡 It's less about authenticating and more about complicating. But hey, if you love slow, leaky, unmanageable code with a side of developer confusion, #JWT is truly your jam! 🚀🔧
https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it #Trick #DeveloperConfusion #CodeQuality #SoftwareDevelopment #HackerNews #ngated

JWT: Just a #Wobbly Trick! 🤡 It's less about authenticating and more about complicating. But hey, if you love slow, leaky, unmanageable code with a side of developer confusion, #JWT is truly your jam! 🚀🔧
https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it #Trick #DeveloperConfusion #CodeQuality #SoftwareDevelopment #HackerNews #ngated

JWT is a scam and your app doesn't need it

https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it

#HackerNews #JWT #scam #app #security #developer #insights

JWT is a scam and your app doesn't need it

https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it

#HackerNews #JWT #scam #app #security #developer #insights

JWT is a scam and your app doesn't need it

https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it

#HackerNews #JWT #scam #app #security #developer #insights

JWT is a scam and your app doesn't need it

https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it

#HackerNews #JWT #scam #app #security #developer #insights

JWT is a scam and your app doesn't need it

https://www.dusanmalusev.dev/blog/jwt-is-a-scam-and-your-app-doesnt-need-it

#HackerNews #JWT #scam #app #security #developer #insights

LHS 3844 b: Das James-Webb-Weltraumteleskop hat einen Exoplaneten analysiert https://www.mpg.de/26331922/astronomen-untersuchen-die-oberflaechenbeschaffenheit-einer-nahen-supererde -- Na dann gute Nacht Internet.

#jwt #LHS3844b

LHS 3844 b: Das James-Webb-Weltraumteleskop hat einen Exoplaneten analysiert https://www.mpg.de/26331922/astronomen-untersuchen-die-oberflaechenbeschaffenheit-einer-nahen-supererde -- Na dann gute Nacht Internet.

#jwt #LHS3844b

LHS 3844 b: Das James-Webb-Weltraumteleskop hat einen Exoplaneten analysiert https://www.mpg.de/26331922/astronomen-untersuchen-die-oberflaechenbeschaffenheit-einer-nahen-supererde -- Na dann gute Nacht Internet.

#jwt #LHS3844b

Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

https://habr.com/ru/articles/1033632/

#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

https://habr.com/ru/articles/1033632/

#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

https://habr.com/ru/articles/1033632/

#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

https://habr.com/ru/articles/1033632/

#telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

https://habr.com/ru/articles/1030928/

#Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

https://habr.com/ru/articles/1030928/

#Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

https://habr.com/ru/articles/1030928/

#Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

https://habr.com/ru/articles/1030928/

#Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

https://habr.com/ru/articles/1029822/

#пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

https://habr.com/ru/articles/1029822/

#пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

https://habr.com/ru/articles/1029822/

#пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

https://habr.com/ru/articles/1029822/

#пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: https://radar.offseq.com/threat/cve-2026-6911-cwe-347-improper-verification-of-cry-0f0da004 #OffSeq #AWS #Vuln #JWT

🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: https://radar.offseq.com/threat/cve-2026-6911-cwe-347-improper-verification-of-cry-0f0da004 #OffSeq #AWS #Vuln #JWT

🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: https://radar.offseq.com/threat/cve-2026-6911-cwe-347-improper-verification-of-cry-0f0da004 #OffSeq #AWS #Vuln #JWT

🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: https://radar.offseq.com/threat/cve-2026-6911-cwe-347-improper-verification-of-cry-0f0da004 #OffSeq #AWS #Vuln #JWT

Contentful is hiring Security Engineer (Application Security)

🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
🌎 Atlanta, Georgia
⏰ Full-time
🏢 Contentful

Job details https://jobsfordevelopers.com/jobs/security-engineer-application-security-at-contentful-com-apr-6-2026-baadb6?utm_source=mastodon.world&utm_medium=social&utm_campaign=posting
#jobalert #jobsearch #hiring

Contentful is hiring Security Engineer (Application Security)

🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
🌎 Atlanta, Georgia
⏰ Full-time
🏢 Contentful

Job details https://jobsfordevelopers.com/jobs/security-engineer-application-security-at-contentful-com-apr-6-2026-baadb6?utm_source=mastodon.world&utm_medium=social&utm_campaign=posting
#jobalert #jobsearch #hiring

Contentful is hiring Security Engineer (Application Security)

🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
🌎 Atlanta, Georgia
⏰ Full-time
🏢 Contentful

Job details https://jobsfordevelopers.com/jobs/security-engineer-application-security-at-contentful-com-apr-6-2026-baadb6?utm_source=mastodon.world&utm_medium=social&utm_campaign=posting
#jobalert #jobsearch #hiring

Contentful is hiring Security Engineer (Application Security)

🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
🌎 Atlanta, Georgia
⏰ Full-time
🏢 Contentful

Job details https://jobsfordevelopers.com/jobs/security-engineer-application-security-at-contentful-com-apr-6-2026-baadb6?utm_source=mastodon.world&utm_medium=social&utm_campaign=posting
#jobalert #jobsearch #hiring

Contentful is hiring Security Engineer (Application Security)

🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
🌎 Atlanta, Georgia
⏰ Full-time
🏢 Contentful

Job details https://jobsfordevelopers.com/jobs/security-engineer-application-security-at-contentful-com-apr-6-2026-baadb6?utm_source=mastodon.world&utm_medium=social&utm_campaign=posting
#jobalert #jobsearch #hiring

I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

vote for me in the #DjangoCon Chat:
https://chat.djangocon.eu/#narrow/channel/16-Lightning-talks/topic/Thursday/near/913

#selfpromotion #django #jwt #security

I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

vote for me in the #DjangoCon Chat:
https://chat.djangocon.eu/#narrow/channel/16-Lightning-talks/topic/Thursday/near/913

#selfpromotion #django #jwt #security

I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

vote for me in the #DjangoCon Chat:
https://chat.djangocon.eu/#narrow/channel/16-Lightning-talks/topic/Thursday/near/913

#selfpromotion #django #jwt #security

I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

vote for me in the #DjangoCon Chat:
https://chat.djangocon.eu/#narrow/channel/16-Lightning-talks/topic/Thursday/near/913

#selfpromotion #django #jwt #security

I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

vote for me in the #DjangoCon Chat:
https://chat.djangocon.eu/#narrow/channel/16-Lightning-talks/topic/Thursday/near/913

#selfpromotion #django #jwt #security

MCP-серверы для всей команды: от локального запуска, до централизованного доступа

Когда MCP-серверов стало шесть, а коллег — десять, фраза «просто запусти npx локально» перестала работать. Не у всех есть желания ставить Node.js, у менеджеров нет Docker, а локальный claude_desktop_config.json начинает напоминать хранилище секретов от всех систем. Я прошёл путь от remote MCP → локальный запуск → Docker → Kubernetes с единым Helm-чартом и JWT-аутентификацией через Envoy. Расскажу, на что напоролся, что получилось, и что еще предстоит решить.

https://habr.com/ru/articles/1022288/

#MCP #Kubernetes #Helm #JWT #Envoy #DevOps #API_Gateway #Docker #AIинфраструктура #digitalocean

MCP-серверы для всей команды: от локального запуска, до централизованного доступа

Когда MCP-серверов стало шесть, а коллег — десять, фраза «просто запусти npx локально» перестала работать. Не у всех есть желания ставить Node.js, у менеджеров нет Docker, а локальный claude_desktop_config.json начинает напоминать хранилище секретов от всех систем. Я прошёл путь от remote MCP → локальный запуск → Docker → Kubernetes с единым Helm-чартом и JWT-аутентификацией через Envoy. Расскажу, на что напоролся, что получилось, и что еще предстоит решить.

https://habr.com/ru/articles/1022288/

#MCP #Kubernetes #Helm #JWT #Envoy #DevOps #API_Gateway #Docker #AIинфраструктура #digitalocean

MCP-серверы для всей команды: от локального запуска, до централизованного доступа

Когда MCP-серверов стало шесть, а коллег — десять, фраза «просто запусти npx локально» перестала работать. Не у всех есть желания ставить Node.js, у менеджеров нет Docker, а локальный claude_desktop_config.json начинает напоминать хранилище секретов от всех систем. Я прошёл путь от remote MCP → локальный запуск → Docker → Kubernetes с единым Helm-чартом и JWT-аутентификацией через Envoy. Расскажу, на что напоролся, что получилось, и что еще предстоит решить.

https://habr.com/ru/articles/1022288/

#MCP #Kubernetes #Helm #JWT #Envoy #DevOps #API_Gateway #Docker #AIинфраструктура #digitalocean

MCP-серверы для всей команды: от локального запуска, до централизованного доступа

Когда MCP-серверов стало шесть, а коллег — десять, фраза «просто запусти npx локально» перестала работать. Не у всех есть желания ставить Node.js, у менеджеров нет Docker, а локальный claude_desktop_config.json начинает напоминать хранилище секретов от всех систем. Я прошёл путь от remote MCP → локальный запуск → Docker → Kubernetes с единым Helm-чартом и JWT-аутентификацией через Envoy. Расскажу, на что напоролся, что получилось, и что еще предстоит решить.

https://habr.com/ru/articles/1022288/

#MCP #Kubernetes #Helm #JWT #Envoy #DevOps #API_Gateway #Docker #AIинфраструктура #digitalocean

NextAuth + Django JWT без второй авторизации и ручного хаоса токенов

Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth. Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth. Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

https://habr.com/ru/articles/1019856/

#Nextjs #NextAuth #Django #Django_REST_Framework #JWT #OAuth #Google_OAuth #TypeScript #Fullstack #Authentication

NextAuth + Django JWT без второй авторизации и ручного хаоса токенов

Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth. Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth. Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

https://habr.com/ru/articles/1019856/

#Nextjs #NextAuth #Django #Django_REST_Framework #JWT #OAuth #Google_OAuth #TypeScript #Fullstack #Authentication

NextAuth + Django JWT без второй авторизации и ручного хаоса токенов

Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth. Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth. Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

https://habr.com/ru/articles/1019856/

#Nextjs #NextAuth #Django #Django_REST_Framework #JWT #OAuth #Google_OAuth #TypeScript #Fullstack #Authentication

NextAuth + Django JWT без второй авторизации и ручного хаоса токенов

Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth. Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth. Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

https://habr.com/ru/articles/1019856/

#Nextjs #NextAuth #Django #Django_REST_Framework #JWT #OAuth #Google_OAuth #TypeScript #Fullstack #Authentication

【セキュリティ】JWTの署名を信頼していたら `alg: none` で管理者権限を奪取された話
https://qiita.com/fe1ix/items/0b1ec01a6a41de94efa5?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #Security #Web #初心者 #JWT #新人プログラマ応援

【セキュリティ】JWTの署名を信頼していたら `alg: none` で管理者権限を奪取された話
https://qiita.com/fe1ix/items/0b1ec01a6a41de94efa5?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #Security #Web #初心者 #JWT #新人プログラマ応援

Обновляем токен авторизации при помощи Dio

Hola, Amigos! На связи Павел Гершевич, Mobile Team Lead агентства продуктовой разработки Amiga и соавтор книги “Основы Flutter”. В каждом приложении мы авторизуем пользователей, но не все встраивают механизмы обновления токенов. Из статьи вы узнаете: - Из чего состоит JWT-токен? - Зачем нужны Interceptor’ы в Dio и чем отличается QueryInterceptor? - Какие есть способы обновления токенов?

https://habr.com/ru/articles/1018286/

#flutter #dart #dio #jwt #авторизация #flutter_app_development #flutter_mobile_development #auth