JWT для сессий: удобство или головная боль?

JSON Web Token (JWT) приобрёл популярность как удобный способ аутентификации и передачи данных между клиентом и сервером. Его ценят за простоту, stateless-подход и гибкость. Однако большинство гайдов рассказывают только о плюсах, забывая о недостатках.

В этой статье мы разберём основные проблемы использования JWT для хранения пользовательских сессий и обсудим более надёжные альтернативы.

Мой обеденный кофе прервался. Начали приходить уведомления от мониторинга, что сайт и API не отвечают, а CloudFlare отдаёт 521-ю ошибку на все запросы. Спустя пять минут ко мне в личку пришли пользователи с жалобами на неработающие приложения. А ещё спустя пять позвонил сооснователь проекта и сказал, что от нас требуют $250 за остановку DDOS'a.

Ниже расскажу, как мы командой решали проблему, какие ошибки допустил я и чем всё закончилось.

Самые интересные новости финансов и технологий в России и мире за неделю: президенту Аргентины грозит импичмент за криптоскам, Трамп разрешил давать взятки, аудит золота в Форт-Ноксе, сервис «Прозрачный блокчейн» от Финразведки, в Испании разрешили выселять окупасов, Маск выпутсил Grok 3, а также ренессанс гуманоидных роботов.

Множество современных приложений используют для взаимодействия вызов функций с помощью API. Для автоматизации таких тестов существуют различные инструменты, и об одном из них мы поговорим в этой статье.

Keploy — это инструмент для тестирования API с открытым исходным кодом, предназначенный для автоматизации этого процесса. Он автоматически генерирует тестовые примеры из трафика API, предоставляя разработчикам и тестировщикам возможность упростить и автоматизировать создание тестовых наборов, делая тестирование API более быстрым и эффективным.

Как уместить словарь размером 250 КБ в 64 КБ ОЗУ с возможностью выполнения быстрого поиска? Для справки: даже современные методики сжатия наподобие gzip -9 не могут сжать этот файл до размера меньше 85 КБ.

В 1970-х Дуглас Макилрой столкнулся с этой непростой задачей при реализации проверки правописания для Unix в AT&T. Из-за ограничений компьютера PDP-11 весь словарь должен был умещаться всего в 64 КБ ОЗУ. Кажется, подобную задачу решить невозможно.

Вместо того, чтобы использовать стандартные методики сжатия, Дуглас воспользовался преимуществами свойств данных, разработав алгоритм сжатия, отличавшийся от теоретического минимума сжатия всего на 0,03 бита. И по сей день этот рекорд остаётся непревзойдённым.

История spell в Unix — это не только любопытный исторический факт. Это мастер-класс по проектированию в условиях жёстких ограничений: анализа первооснов задачи, применения математических наблюдений и проектирования изящных решений, работающих в условиях строгого дефицита ресурсов.

«Волновалась ли супруга, когда мы начинали бизнес? Нет, она никогда не волновалась. Понимаете, мы, наверное, пришли из немного иного мира: в Депрессию у тебя ничего и не было, и ты не волновался о том, чтобы иметь что-то еще. Жена же пережила две войны в Финляндии и большую часть ее жизни еда в ее доме не всегда была в достаточном количестве. То есть у нас особо ничего не было, так что мы ни о чем и не волновались. Да и зарплата была той же, что в Lincoln Labs, так что о рисках мы тоже не думали»
K. Олсен

Радостно, что эта статья успела выйти в 99-й день рождения Кеннета Олсена. Ну, а мы продолжаем.

Когда товарищ и коллега @ereinion предложил написать серию статей о digital, я понимал, что предстоит огромная работа. Но самое сложное будет – уместить выжимку из чудовищных объёмов информации в несколько статей.

По ходу работы с бесчисленными материалами и расшифровками аудиозаписей пришло осознание, что подачу статьи ни в коем случае нельзя делать похожей на десятки статей о DEC. В них сухими цифрами описывались только исторические вехи и сама деятельность в IT-сфере, а список технологических достижений разбавлялся лишь техническими подробностями.

DEC была гораздо большим, чем компанией, давшей человечеству мир мини-компьютеров и доступных систем реального времени. Это автор и постарается донести до читателя. Также было бы дилетантством пытаться рассказать историю DEC с её внутренней культурой, оставив в тени подробности об основавших её людях и личный опыт сотрудников.

В конце концов, процесс написания статей о DEC невозможно закончить, его можно только остановить.

Как известно, интернет был придуман чтобы было куда скидывать фотки ню, и действительно adult media индустрия это хороший индикатор развития любой технологии. А что же с ИИ?

Это не просто юбилей, а целая эпоха. Когда Джефф Дин и Ноам Шазир присоединились к компании, её можно было назвать стартапом (ну, почти). Сегодня же они работают над самыми продвинутыми технологиями искусственного интеллекта, определяющими будущее всей индустрии. Чем они занимались за это время? Разрабатывали фундаментальные системы, без которых современный интернет выглядел бы иначе: MapReduce, BigTable, TensorFlow... и это только верхушка айсберга. Их текущая миссия — развивать Gemini (не так давно известный как Bard) — амбициозный проект Google DeepMind, который стремится объединить лучшее из мира поисковых технологий и генеративного ИИ.

В интервью Дваркешу Пателю Джефф и Ноам делятся своими наблюдениями о росте компании, о том, как изменились вычисления за последние десятилетия и почему успех современных моделей ИИ — это не просто магия больших данных, а результат тщательно выстроенной архитектуры и аппаратных решений. Спойлер: закон Мура уже не тот.

Технофеодализм – это термин, описывающий новую социально-экономическую систему, в которой доминируют цифровые технологические платформы, аналогично тому, как в средние века в обществе господствовали феодалы. Идея популяризирована экономистом Янисом Варуфакисом, который утверждает, что мы переживаем «эпохальные перемены» с развитием облачных вычислений и больших данных, знаменующих конец традиционного рынка, движимого капитализмом [1].

Проще говоря, технофеодализм понимается как «ситуация, в которой мы служим нашим крупным техно-„повелителям“ (Amazon, Google, Apple и Meta), передавая им свои данные в обмен на доступ к их облачным сервисам» [2]. В этой схеме наши персональные данные и онлайн-поведение становятся своеобразной «платой» за использование цифровых услуг — подобно тому, как средневековые крестьяне платили оброк своему феодалу [3][4].

Концепт настольной игромеханики для дуэльной асинхронной игры, сочетающей в себе тактику с миниатюрами на доске и управляющие их действиями колоды карты.

В TLS 1.3 постквантовые криптосистемы используются в составе гибридных схем, совместно с обычными, классическими, криптосистемами. Посмотрим на дампы TLS-сообщений и, на примере дампов, попробуем разобраться с основами практического использования ML-KEM - пока что единственного постквантового варианта для распространённых браузеров.

[Прим. пер.: на Хабре уже был перевод этой статьи, но незавершённый примерно на четверть.]

Неправда.

Калькулятор должен показывать результат введённого математического выражения. А это намно-о-ого сложнее, чем кажется.

В этом посте я расскажу величайшую историю о разработке приложения-калькулятора.

На изображении выше показан калькулятор из iOS.

Заметили что-нибудь?

Он посчитал неправильно.

(10¹⁰⁰) + 1 − (10¹⁰⁰) равно 1, а не 0.

Android считает правильно. А причина, по которой он это делает, абсолютно безумна.

Около 2 500 лет назад вавилонские торговцы в Месопотамии впечатали в глиняные таблички два наклонных клинышка. Эти фигуры представляли собой цифру-заместитель, втиснутую между другими цифрами, исключительно с целью различать такие числа, как 50, 505 и 5 005. Так родилась элементарная версия понятия «ноль».

Сотни лет спустя, в Индии седьмого века, ноль приобрёл новое обличье. Перестав быть символом, цифра приобрела значение и заняла своё место на числовой прямой, встав перед 1. Его изобретение послужило толчком к историческому прогрессу в науке и технике. Из нуля возникли законы Вселенной, теория чисел и современная математика.

«Многие математики считают ноль одним из величайших достижений человечества, а может быть, и самым великим, — говорит нейробиолог Андреас Нидер, изучающий интеллект животных и человека в Тюбингенском университете в Германии. — Прошла целая вечность, прежде чем математики наконец изобрели такое число, как ноль».

Уже лет 20 существует миф (или не миф), что современный Highload-проект невозможен без кэшей. Они всегда нас выручали, когда не справлялись базы данных. Но с тех пор, как появились первые кэши, key-value баз данных и другие технологии, многое изменилось и традиционные СУБД значительно эволюционировали. И так ли теперь нужен кэш?
Мы протестировали самые известные кэш-сервисы и СУБД и попробовали выжать из них миллион запросов в секунду в разных условиях. Делимся с вами результатами в этой статье.
Привет, Хабр! Я Алексей Рыбак, предприниматель и основатель R&D-лаборатории DevHands, автор телеграм-канала про System Design и Highload. В прошлом — СТО и руководитель московского офиса Badoo. Работал во втором по размеру такси-сервисе «Везёт», который мы после продажи интегрировали с Яндекс.Такси. Сейчас наша компания разрабатывает образовательные программы по Highload и перформансу.

Новый перевод от команды Spring АйО расскажет вам, что происходит при запуске самого простого приложения на Java, какие шаги выполняет JVM, сколько классов ей необходимо загрузить, чтобы просто написать «Hello World!» и как все это выглядит на уровне byte code.