Делаем авторизацию в Telegram Mini Apps правильно

[7fantasy7]

Зачем jwt, если можно всегда пользоваться initData’ой

[TheCodefather]

Хочу отметить, что в качестве механизма аутентификации не обязательно использовать концепцию пары JWT‑токенов — иногда лучшим решением могут оказаться обычные сессии. Всё зависит от архитектуры вашего проекта.

Не обязательно именно JWT. Можно и initData с каждым запросом гонять. Но подход с JWT (или сессией) более правильный с точки зрения разделения процессов аутентификации и авторизации. Также, часто в JWT токены зашивается и доп.информация, например у меня в проекте это роли и аттрибуты пользователя. При обработке запросов на сервере мне удобнее работать именно с JWT.

[kironix]

Но так ли часто нужно доп информация в токене? По моему мнению, рефреш так вообще лишний, т.к токен доступа может быть обновлен с помощью init data в любое время

[polRk]

Статья "реализуем правильно..." и кучу говна вокруг сути: реакты, нексты, и никаких деталей