home.social
Sign in Create account

#jwt — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #jwt, aggregated by home.social.

  1. Dagger ☀️ @[email protected] ·

    LHS 3844 b: Das James-Webb-Weltraumteleskop hat einen Exoplaneten analysiert mpg.de/26331922/astronomen-unt -- Na dann gute Nacht Internet.

    #jwt #LHS3844b

    #jwt #lhs3844b
  2. Dagger ☀️ @[email protected] ·

    LHS 3844 b: Das James-Webb-Weltraumteleskop hat einen Exoplaneten analysiert mpg.de/26331922/astronomen-unt -- Na dann gute Nacht Internet.

    #jwt #LHS3844b

    #jwt #lhs3844b
  3. Dagger ☀️ @[email protected] ·

    LHS 3844 b: Das James-Webb-Weltraumteleskop hat einen Exoplaneten analysiert mpg.de/26331922/astronomen-unt -- Na dann gute Nacht Internet.

    #jwt #LHS3844b

    #lhs3844b #jwt
  4. Habr @[email protected] ·

    Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

    Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

    habr.com/ru/articles/1033632/

    #telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

    #authentication #python #pyjwt #jwks #jwt #oauth2
  5. Habr @[email protected] ·

    Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

    Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

    habr.com/ru/articles/1033632/

    #telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

    #authentication #python #pyjwt #jwks #jwt #oauth2
  6. Habr @[email protected] ·

    Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

    Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

    habr.com/ru/articles/1033632/

    #telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

    #authentication #python #pyjwt #jwks #jwt #oauth2
  7. Habr @[email protected] ·

    Логин через Telegram по-новому: разбираем OIDC-флоу oauth.telegram.org и собираем его на Python

    Telegram теперь полноценный OpenID-провайдер: oauth.telegram.org, JWKS, JWT, claims. Туториалы на GitHub при этом массово показывают старый виджет с HMAC от bot-token и /setdomain в BotFather. Я разобрался с новым флоу и собрал PoC на Python — рассказываю, как устроен обмен между фронтом, Telegram и бэком, чем Login library через telegram-login.js отличается от manual OIDC code flow с PKCE, что настраивать в BotFather (спойлер: не в чате, а в его mini-app), как протестировать локально через ngrok, и какая проверка id_token нужна вместо ручного HMAC.

    habr.com/ru/articles/1033632/

    #telegram #telegram_login #openid_connect #oidc #oauth2 #jwt #jwks #pyjwt #python #authentication

    #telegram #telegram_login #openid_connect #oidc #oauth2 #jwt
  8. Habr @[email protected] ·

    Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

    Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

    habr.com/ru/articles/1030928/

    #Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

    #refresh_tokens #modular_monolith #sse #изучение_английского #petproject #llm
  9. Habr @[email protected] ·

    Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

    Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

    habr.com/ru/articles/1030928/

    #Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

    #refresh_tokens #modular_monolith #sse #изучение_английского #petproject #llm
  10. Habr @[email protected] ·

    Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

    Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

    habr.com/ru/articles/1030928/

    #Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

    #refresh_tokens #modular_monolith #sse #изучение_английского #petproject #llm
  11. Habr @[email protected] ·

    Я устал от Duolingo и написал себе AI-репетитора. Go, Clean Architecture, 4 LLM-модели — и вот что из этого вышло

    Мой рабочий день - это код. Вечером я хочу разговаривать с кем-то по-английски, а не нажимать на пингвинчиков. Duolingo учит меня заказывать яблоки, ChatGPT-чат отлично объясняет грамматику - но не помнит, что я разбирал Present Perfect в среду и опять путаю его с Past Simple в пятницу. Я хотел простую штуку: написать модели «давай сегодня про багтрекеры»; получить чат на 15 минут; а в конце - три новых слова , которые она же мне и подобрала по уровню B1. Чтобы завтра эти слова всплыли в упражнениях. Через месяц получился Lexis : Go · Clean Architecture · 4 LLM-модели · SSE-стриминг · JWT rotation + reuse detection MIT, открытый репозиторий. В статье - три инженерных якоря , которыми я доволен: Pluggable AI-провайдеры через интерфейс из трёх методов. SSE вместо WebSocket для стриминга AI-ответов. JWT rotation + reuse detection как production-ready стандарт, а не «потом перепишем». Плюс честный список того, что ещё не готово. Показать архитектуру

    habr.com/ru/articles/1030928/

    #Go #Clean_Architecture #JWT #AI #LLM #petproject #изучение_английского #SSE #modular_monolith #refresh_tokens

    #go #clean_architecture #jwt #ai #llm #petproject
  12. Habr @[email protected] ·

    Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

    Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

    habr.com/ru/articles/1029822/

    #пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

    #apiключи #rag #аудит_безопасности #ai_security #langchain #docker
  13. Habr @[email protected] ·

    Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

    Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

    habr.com/ru/articles/1029822/

    #пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

    #apiключи #rag #аудит_безопасности #ai_security #langchain #docker
  14. Habr @[email protected] ·

    Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

    Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

    habr.com/ru/articles/1029822/

    #пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

    #apiключи #rag #аудит_безопасности #ai_security #langchain #docker
  15. Habr @[email protected] ·

    Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри

    Мы искали уязвимости в RAG-платформе с десятками тысяч пользователей — а нашли доступ ко всей инфраструктуре и API-ключам с бюджетом в сотни тысяч долларов. Две недели мы строили сложные цепочки: SSRF через LangChain, инъекции в промпты, HTTP smuggling, CVE в десериализации. Ни одна не дала результата. А потом мы сделали один curl к открытому порту — и получили все ключи за 5 минут. Эта статья — не гайд по взлому . Это разбор того, почему LLM-инфраструктура создаёт принципиально новые риски, какие ошибки мы раз за разом видим в AI-стартапах, и на что стоит обратить внимание, если вы строите что-то похожее.

    habr.com/ru/articles/1029822/

    #пентест #LLM #SSRF #JWT #Docker #LangChain #AI_Security #аудит_безопасности #RAG #APIключи

    #пентест #llm #ssrf #jwt #docker #langchain
  16. OffSequence @[email protected] ·

    🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: radar.offseq.com/threat/cve-20 #OffSeq #AWS #Vuln #JWT

    #offseq #aws #vuln #jwt
  17. OffSequence @[email protected] ·

    🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: radar.offseq.com/threat/cve-20 #OffSeq #AWS #Vuln #JWT

    #offseq #aws #vuln #jwt
  18. OffSequence @[email protected] ·

    🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: radar.offseq.com/threat/cve-20 #OffSeq #AWS #Vuln #JWT

    #jwt #vuln #aws #offseq
  19. OffSequence @[email protected] ·

    🚨 CRITICAL: CVE-2026-6911 in AWS Ops Wheel — missing JWT signature checks allow unauth access & admin control over all tenants. Patch by redeploying from the updated repo! Details: radar.offseq.com/threat/cve-20 #OffSeq #AWS #Vuln #JWT

    #offseq #aws #vuln #jwt
  20. Jobs for Developers @[email protected] ·

    Contentful is hiring Security Engineer (Application Security)

    🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
    🌎 Atlanta, Georgia
    ⏰ Full-time
    🏢 Contentful

    Job details jobsfordevelopers.com/jobs/sec
    #jobalert #jobsearch #hiring

    #golang #javascript #python #aws #jwt #kubernetes
  21. Jobs for Developers @[email protected] ·

    Contentful is hiring Security Engineer (Application Security)

    🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
    🌎 Atlanta, Georgia
    ⏰ Full-time
    🏢 Contentful

    Job details jobsfordevelopers.com/jobs/sec
    #jobalert #jobsearch #hiring

    #golang #javascript #python #aws #jwt #kubernetes
  22. Jobs for Developers @[email protected] ·

    Contentful is hiring Security Engineer (Application Security)

    🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
    🌎 Atlanta, Georgia
    ⏰ Full-time
    🏢 Contentful

    Job details jobsfordevelopers.com/jobs/sec
    #jobalert #jobsearch #hiring

    #golang #javascript #python #aws #jwt #kubernetes
  23. Jobs for Developers @[email protected] ·

    Contentful is hiring Security Engineer (Application Security)

    🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
    🌎 Atlanta, Georgia
    ⏰ Full-time
    🏢 Contentful

    Job details jobsfordevelopers.com/jobs/sec
    #jobalert #jobsearch #hiring

    #hiring #jobsearch #jobalert #securityengineer #terraform #kubernetes
  24. Jobs for Developers @[email protected] ·

    Contentful is hiring Security Engineer (Application Security)

    🔧 #golang #javascript #python #aws #jwt #kubernetes #terraform #securityengineer
    🌎 Atlanta, Georgia
    ⏰ Full-time
    🏢 Contentful

    Job details jobsfordevelopers.com/jobs/sec
    #jobalert #jobsearch #hiring

    #golang #javascript #python #aws #jwt #kubernetes
  25. Benedikt @[email protected] ·

    I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

    vote for me in the #DjangoCon Chat:
    chat.djangocon.eu/#narrow/chan

    #selfpromotion #django #jwt #security

    #djangocon #selfpromotion #django #jwt #security
  26. Benedikt @[email protected] ·

    I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

    vote for me in the #DjangoCon Chat:
    chat.djangocon.eu/#narrow/chan

    #selfpromotion #django #jwt #security

    #djangocon #selfpromotion #django #jwt #security
  27. Benedikt @[email protected] ·

    I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

    vote for me in the #DjangoCon Chat:
    chat.djangocon.eu/#narrow/chan

    #selfpromotion #django #jwt #security

    #djangocon #selfpromotion #django #jwt #security
  28. Benedikt @[email protected] ·

    I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

    vote for me in the #DjangoCon Chat:
    chat.djangocon.eu/#narrow/chan

    #selfpromotion #django #jwt #security

    #security #jwt #django #selfpromotion #djangocon
  29. Benedikt @mastacheata ·

    I'm planning to do a lightning ⚡ talk tonight - To JWT or not to JWT - why JSON Web Tokens might not be the one size that fits all (in my opinion)

    vote for me in the Chat:
    chat.djangocon.eu/#narrow/chan

    #djangocon #selfpromotion #django #jwt #security
  30. Habr @[email protected] ·

    MCP-серверы для всей команды: от локального запуска, до централизованного доступа

    Когда MCP-серверов стало шесть, а коллег — десять, фраза «просто запусти npx локально» перестала работать. Не у всех есть желания ставить Node.js, у менеджеров нет Docker, а локальный claude_desktop_config.json начинает напоминать хранилище секретов от всех систем. Я прошёл путь от remote MCP → локальный запуск → Docker → Kubernetes с единым Helm-чартом и JWT-аутентификацией через Envoy. Расскажу, на что напоролся, что получилось, и что еще предстоит решить.

    habr.com/ru/articles/1022288/

    #MCP #Kubernetes #Helm #JWT #Envoy #DevOps #API_Gateway #Docker #AIинфраструктура #digitalocean

    #digitalocean #aiинфраструктура #docker #api_gateway #devops #envoy
  31. Habr @[email protected] ·

    MCP-серверы для всей команды: от локального запуска, до централизованного доступа

    Когда MCP-серверов стало шесть, а коллег — десять, фраза «просто запусти npx локально» перестала работать. Не у всех есть желания ставить Node.js, у менеджеров нет Docker, а локальный claude_desktop_config.json начинает напоминать хранилище секретов от всех систем. Я прошёл путь от remote MCP → локальный запуск → Docker → Kubernetes с единым Helm-чартом и JWT-аутентификацией через Envoy. Расскажу, на что напоролся, что получилось, и что еще предстоит решить.

    habr.com/ru/articles/1022288/

    #MCP #Kubernetes #Helm #JWT #Envoy #DevOps #API_Gateway #Docker #AIинфраструктура #digitalocean

    #digitalocean #aiинфраструктура #docker #api_gateway #devops #envoy
  32. Habr @[email protected] ·

    MCP-серверы для всей команды: от локального запуска, до централизованного доступа

    Когда MCP-серверов стало шесть, а коллег — десять, фраза «просто запусти npx локально» перестала работать. Не у всех есть желания ставить Node.js, у менеджеров нет Docker, а локальный claude_desktop_config.json начинает напоминать хранилище секретов от всех систем. Я прошёл путь от remote MCP → локальный запуск → Docker → Kubernetes с единым Helm-чартом и JWT-аутентификацией через Envoy. Расскажу, на что напоролся, что получилось, и что еще предстоит решить.

    habr.com/ru/articles/1022288/

    #MCP #Kubernetes #Helm #JWT #Envoy #DevOps #API_Gateway #Docker #AIинфраструктура #digitalocean

    #digitalocean #aiинфраструктура #docker #api_gateway #devops #envoy
  33. Habr @[email protected] ·

    MCP-серверы для всей команды: от локального запуска, до централизованного доступа

    Когда MCP-серверов стало шесть, а коллег — десять, фраза «просто запусти npx локально» перестала работать. Не у всех есть желания ставить Node.js, у менеджеров нет Docker, а локальный claude_desktop_config.json начинает напоминать хранилище секретов от всех систем. Я прошёл путь от remote MCP → локальный запуск → Docker → Kubernetes с единым Helm-чартом и JWT-аутентификацией через Envoy. Расскажу, на что напоролся, что получилось, и что еще предстоит решить.

    habr.com/ru/articles/1022288/

    #MCP #Kubernetes #Helm #JWT #Envoy #DevOps #API_Gateway #Docker #AIинфраструктура #digitalocean

    #mcp #kubernetes #helm #jwt #envoy #devops
  34. Habr @[email protected] ·

    NextAuth + Django JWT без второй авторизации и ручного хаоса токенов

    Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth. Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth. Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

    habr.com/ru/articles/1019856/

    #Nextjs #NextAuth #Django #Django_REST_Framework #JWT #OAuth #Google_OAuth #TypeScript #Fullstack #Authentication

    #authentication #fullstack #typescript #google_oauth #oauth #jwt
  35. Habr @[email protected] ·

    NextAuth + Django JWT без второй авторизации и ручного хаоса токенов

    Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth. Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth. Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

    habr.com/ru/articles/1019856/

    #Nextjs #NextAuth #Django #Django_REST_Framework #JWT #OAuth #Google_OAuth #TypeScript #Fullstack #Authentication

    #authentication #fullstack #typescript #google_oauth #oauth #jwt
  36. Habr @[email protected] ·

    NextAuth + Django JWT без второй авторизации и ручного хаоса токенов

    Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth. Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth. Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

    habr.com/ru/articles/1019856/

    #Nextjs #NextAuth #Django #Django_REST_Framework #JWT #OAuth #Google_OAuth #TypeScript #Fullstack #Authentication

    #authentication #fullstack #typescript #google_oauth #oauth #jwt
  37. Habr @[email protected] ·

    NextAuth + Django JWT без второй авторизации и ручного хаоса токенов

    Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth. Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth. Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

    habr.com/ru/articles/1019856/

    #Nextjs #NextAuth #Django #Django_REST_Framework #JWT #OAuth #Google_OAuth #TypeScript #Fullstack #Authentication

    #nextjs #nextauth #django #django_rest_framework #jwt #oauth
  38. :rss: Qiita - 人気の記事 @[email protected] ·

    【セキュリティ】JWTの署名を信頼していたら `alg: none` で管理者権限を奪取された話
    qiita.com/fe1ix/items/0b1ec01a

    #qiita #Security #Web #初心者 #JWT #新人プログラマ応援

    #qiita #security #web #初心者 #jwt #新人プログラマ応援
  39. :rss: Qiita - 人気の記事 @[email protected] ·

    【セキュリティ】JWTの署名を信頼していたら `alg: none` で管理者権限を奪取された話
    qiita.com/fe1ix/items/0b1ec01a

    #qiita #Security #Web #初心者 #JWT #新人プログラマ応援

    #qiita #security #web #初心者 #jwt #新人プログラマ応援
  40. Habr @[email protected] ·

    Обновляем токен авторизации при помощи Dio

    Hola, Amigos! На связи Павел Гершевич, Mobile Team Lead агентства продуктовой разработки Amiga и соавтор книги “Основы Flutter”. В каждом приложении мы авторизуем пользователей, но не все встраивают механизмы обновления токенов. Из статьи вы узнаете: - Из чего состоит JWT-токен? - Зачем нужны Interceptor’ы в Dio и чем отличается QueryInterceptor? - Какие есть способы обновления токенов?

    habr.com/ru/articles/1018286/

    #flutter #dart #dio #jwt #авторизация #flutter_app_development #flutter_mobile_development #auth

    #auth #flutter_mobile_development #flutter_app_development #авторизация #jwt #dio
  41. Habr @[email protected] ·

    Обновляем токен авторизации при помощи Dio

    Hola, Amigos! На связи Павел Гершевич, Mobile Team Lead агентства продуктовой разработки Amiga и соавтор книги “Основы Flutter”. В каждом приложении мы авторизуем пользователей, но не все встраивают механизмы обновления токенов. Из статьи вы узнаете: - Из чего состоит JWT-токен? - Зачем нужны Interceptor’ы в Dio и чем отличается QueryInterceptor? - Какие есть способы обновления токенов?

    habr.com/ru/articles/1018286/

    #flutter #dart #dio #jwt #авторизация #flutter_app_development #flutter_mobile_development #auth

    #auth #flutter_mobile_development #flutter_app_development #авторизация #jwt #dio
  42. Habr @[email protected] ·

    Обновляем токен авторизации при помощи Dio

    Hola, Amigos! На связи Павел Гершевич, Mobile Team Lead агентства продуктовой разработки Amiga и соавтор книги “Основы Flutter”. В каждом приложении мы авторизуем пользователей, но не все встраивают механизмы обновления токенов. Из статьи вы узнаете: - Из чего состоит JWT-токен? - Зачем нужны Interceptor’ы в Dio и чем отличается QueryInterceptor? - Какие есть способы обновления токенов?

    habr.com/ru/articles/1018286/

    #flutter #dart #dio #jwt #авторизация #flutter_app_development #flutter_mobile_development #auth

    #auth #flutter_mobile_development #flutter_app_development #авторизация #jwt #dio
  43. Habr @[email protected] ·

    Обновляем токен авторизации при помощи Dio

    Hola, Amigos! На связи Павел Гершевич, Mobile Team Lead агентства продуктовой разработки Amiga и соавтор книги “Основы Flutter”. В каждом приложении мы авторизуем пользователей, но не все встраивают механизмы обновления токенов. Из статьи вы узнаете: - Из чего состоит JWT-токен? - Зачем нужны Interceptor’ы в Dio и чем отличается QueryInterceptor? - Какие есть способы обновления токенов?

    habr.com/ru/articles/1018286/

    #flutter #dart #dio #jwt #авторизация #flutter_app_development #flutter_mobile_development #auth

    #flutter #dart #dio #jwt #авторизация #flutter_app_development
  44. Habr @[email protected] ·

    От идеи до MVP за час: full-stack приложение с Platform V DataSpace Community Edition

    Привет, Хабр! Platform V DataSpace Community Edition — это open source-инструмент для быстрой разработки бизнес-приложений. В статье мы познакомимся с созданием решений с DataSpace на практическом примере банковского приложения, разберёмся, как работает платформа и почему она может стать вашим секретным оружием для создания MVP.

    habr.com/ru/companies/sberbank

    #graphql #frontend #backend #open_source #JWT #KeyCloak #ddd

    #ddd #keycloak #jwt #open_source #backend #frontend
  45. Habr @[email protected] ·

    От идеи до MVP за час: full-stack приложение с Platform V DataSpace Community Edition

    Привет, Хабр! Platform V DataSpace Community Edition — это open source-инструмент для быстрой разработки бизнес-приложений. В статье мы познакомимся с созданием решений с DataSpace на практическом примере банковского приложения, разберёмся, как работает платформа и почему она может стать вашим секретным оружием для создания MVP.

    habr.com/ru/companies/sberbank

    #graphql #frontend #backend #open_source #JWT #KeyCloak #ddd

    #ddd #keycloak #jwt #open_source #backend #frontend
  46. Habr @[email protected] ·

    От идеи до MVP за час: full-stack приложение с Platform V DataSpace Community Edition

    Привет, Хабр! Platform V DataSpace Community Edition — это open source-инструмент для быстрой разработки бизнес-приложений. В статье мы познакомимся с созданием решений с DataSpace на практическом примере банковского приложения, разберёмся, как работает платформа и почему она может стать вашим секретным оружием для создания MVP.

    habr.com/ru/companies/sberbank

    #graphql #frontend #backend #open_source #JWT #KeyCloak #ddd

    #ddd #keycloak #jwt #open_source #backend #frontend
  47. Habr @[email protected] ·

    От идеи до MVP за час: full-stack приложение с Platform V DataSpace Community Edition

    Привет, Хабр! Platform V DataSpace Community Edition — это open source-инструмент для быстрой разработки бизнес-приложений. В статье мы познакомимся с созданием решений с DataSpace на практическом примере банковского приложения, разберёмся, как работает платформа и почему она может стать вашим секретным оружием для создания MVP.

    habr.com/ru/companies/sberbank

    #graphql #frontend #backend #open_source #JWT #KeyCloak #ddd

    #graphql #frontend #backend #open_source #jwt #keycloak
  48. Habr @[email protected] ·

    JWT авторизация в FastAPI: от теории к практике

    Представьте себе, что вы разработчик, и перед вами стоит задача: сделать так, чтобы после входа пользователь мог получать свои личные данные, не вводя пароль при каждом клике. Звучит как классическая задача аутентификации, правда? Традиционный подход — сессии. Вы логинитесь, сервер создаёт сессию, запоминает ваш ID у себя в базе данных, а вам выдаёт куку с ID этой сессии. Всё работает, пока вы на одном сервере. А если у вас их два? Или десять? Куда девать сессии? Начинаются проблемы с синхронизацией, Redis, общими хранилищами… Альтернатива — JWT (JSON Web Token). В этой статье мы с вами:

    habr.com/ru/articles/1017246/

    #FastAPI #JWT #авторизация #аутентификация #Python #токены #API #бэкенд #JSON_Web_Token #OAuth2

    #oauth2 #json_web_token #бэкенд #api #токены #python
  49. Habr @[email protected] ·

    JWT авторизация в FastAPI: от теории к практике

    Представьте себе, что вы разработчик, и перед вами стоит задача: сделать так, чтобы после входа пользователь мог получать свои личные данные, не вводя пароль при каждом клике. Звучит как классическая задача аутентификации, правда? Традиционный подход — сессии. Вы логинитесь, сервер создаёт сессию, запоминает ваш ID у себя в базе данных, а вам выдаёт куку с ID этой сессии. Всё работает, пока вы на одном сервере. А если у вас их два? Или десять? Куда девать сессии? Начинаются проблемы с синхронизацией, Redis, общими хранилищами… Альтернатива — JWT (JSON Web Token). В этой статье мы с вами:

    habr.com/ru/articles/1017246/

    #FastAPI #JWT #авторизация #аутентификация #Python #токены #API #бэкенд #JSON_Web_Token #OAuth2

    #oauth2 #json_web_token #бэкенд #api #токены #python
  50. Habr @[email protected] ·

    JWT авторизация в FastAPI: от теории к практике

    Представьте себе, что вы разработчик, и перед вами стоит задача: сделать так, чтобы после входа пользователь мог получать свои личные данные, не вводя пароль при каждом клике. Звучит как классическая задача аутентификации, правда? Традиционный подход — сессии. Вы логинитесь, сервер создаёт сессию, запоминает ваш ID у себя в базе данных, а вам выдаёт куку с ID этой сессии. Всё работает, пока вы на одном сервере. А если у вас их два? Или десять? Куда девать сессии? Начинаются проблемы с синхронизацией, Redis, общими хранилищами… Альтернатива — JWT (JSON Web Token). В этой статье мы с вами:

    habr.com/ru/articles/1017246/

    #FastAPI #JWT #авторизация #аутентификация #Python #токены #API #бэкенд #JSON_Web_Token #OAuth2

    #oauth2 #json_web_token #бэкенд #api #токены #python