JWT авторизация в FastAPI: от теории к практике

[kmatveev]

В этой статье всё очень плохо.

Автор зачем-то сделал проверку пароля, и в ответ выдаёт JWT. В реальной практике JWT не используют как заменитель серверной сессии в виде сериализованной подписанной кучи атрибутов, которую гоняют в каждом запросе. Его используют как подтверждение, что пользователь аутентифицировался в том сервисе, который выдал этот токен.

Самое важное: подпись. Когда сервер создаёт токен, он берёт заголовок + payload, добавляет секретный ключ (который знает только сервер) и создаёт подпись. При следующем запросе сервер снова берёт заголовок + payload, добавляет свой секретный ключ и сравнивает получившуюся подпись с той, что пришла в токене.

Подпись проверяется не так, для проверки используется публичный ключ, соответствующий приватному ключу. Поэтому проверить может любой.

[morheus9]

Есть ли примеры ГРАМОТНОЙ статьи по авторизации и аутентификации в fastapi?

Мне интересна больше практическая часть

[andreymal]

Картинка, которая обязана быть под каждым постом про JWT

[khristm]

Как на счет того что бы хранить в payload version - версия пароля, если угнали токен, меняем пароль, version меняется токен не пройдет проверку

[andreymal]

Это фактически эквивалентно варианту «я же могу сделать ключ для каждого пользователя уникальным», где version выполняет роль ключа

[DamirMur]

Сильно удивишься когда попробуешь добавить другие способы авторизации, типа телеграм

[MANAB]

JWT (читается как “джот”)

Это же описка? И зачем вообще писать как это читается?

[monochromer]

The suggested pronunciation of JWT is the same as the English word "jot".