Node.js: шаблон сервера для аутентификации и авторизации

[korsetlr473]

как правильно сделать чтобы не убить сервис такой юз кейс

1) пользователей может купить конкретную статью

2) пользователь может купить подписку на автора с доступом ко всем статьям

Неужто только на каждый реквест лезть в билинг и проверять куплена или нет?

[monochromer]

argon2 — утилита для хеширования паролей

Почему не использовали встроенный scrypt?

[Wannaweed]

Большое спасибо за статью! Мне как фронтенд-разработчику она оказалась весьма полезна. Но я не совсем понял момент с logout, точнее, для чего проверять и перевыпускать токен доступа? Буду признателен за объяснение и пример возможного небезопасного кейса в этом случае.

[Ulibka]

Игорь, добрый день, ссылка на репозиторий не рабочая, могли бы Вы перезалить репозиторий на github ?

[Psychosynthesis]

наличие и значение специального заголовка X-Verification-Code. Вместо этого может использоваться любой другой способ уникальной идентификации запроса, позволяющий достоверно определить, что запрос отправлен доверенным клиентом

Это в целом понятно для чего, только механизм этот совершенно бесполезный, по факту. И вот почему: чтобы этот Verification-Code подделать, достаточно просто скопировать что шлёт веб-морда на сервер один раз и всё. Т.е. это будет работать исключительно в случае, если будет какая-то ротация этих кодов на сервере и на клиенте. И то не долго.

Можно чуть добавить смысла, если, например, шифровать его как-нибудь запутанно, но тоже вопросы остаются.

[mayorovp]

А смысла и нет, вообще. Любой, алгоритм шифрования, каким бы запутанным он ни был, точно также можно скопировать.

Единственный способ отделить более доверенные клиенты от менее доверенных - заголовок Origin, и то он работает лишь c браузерными клиентами.