Оговорюсь, здесь и далее в куках все параметры с __Secure-, Secure, SameSite=Lax
Недавно сам плотно изучал вопрос и вот к какому решению пришел: 1. Берем JWT токен и засовываем его в cookie с флагом httpOnly (JWT нужен для сервисов, которыми пользуется наш бэкенд, а для информации о пользователе создаем endpoint me) 2. Генерируем обычный CSRF токен и кладем его в JWT, и параллельно отправляем вместе с токеном в куки, но без httpOnly
В момент запроса просто берем CSRF токен из куки, и отправляем на сервер. Там проверяем валидность JWT, и все 3 CSRF токена должны совпасть: в куки, в запросе в JWT.
Почему так? 1. JWT - подписанные данные и знакомая многим концепция, его время жизни тоже заложено в нем, а потому не страшно, что пользователь руками продлит куку. 2. Снижена нагрузка на сервер, ибо в JWT можно положить всякой полезной информации, чтобы не бегать в базу. 3. Не нужно хранилище для токенов, они не будут жить дольше самого JWT, который рассчитан на 10-15 минут. 4. Между вкладками и сессиями CSRF токен у нас актуален.
Интересно! А вот например, разработчик решил делать новый микросервис, ему все собрали. А для разработки ему нужно общение с другими сервисами. Как быть если у него local? Он подключается к prod окружению и дергает нужный сервис?
Тут немного другая ситуация. К примеру возьмем создание пары обуви:
1. Раньше человек делал все с помощью ручного станка и одну пару в неделю.
Сейчас на промышленном станке и десяток пар в день.
Получается ручной станок заменили на промышленный. Но человек остался исполнителем.
2. Сейчас человек на промышленном станке десяток пар в день.
В будущем робот на промышленном станке десяток пар в день (утрировано).
Получается станок тот же, а вот исполнитель другой.
Вот это и пугает. Луддиты думали что их заменит машина и у них не будет работы, но исполнителями той работы оставались они же. А здесь человек не остается исполнителем.
Конечно же сразу не будет целый завод без людей. Инженеры, механики и т.д. Но концептуально первая волна людей с низкой квалификацией нехило поднимет уровень преступности.
Оговорюсь, здесь и далее в куках все параметры с __Secure-, Secure, SameSite=Lax
Недавно сам плотно изучал вопрос и вот к какому решению пришел:
1. Берем JWT токен и засовываем его в cookie с флагом httpOnly (JWT нужен для сервисов, которыми пользуется наш бэкенд, а для информации о пользователе создаем endpoint me)
2. Генерируем обычный CSRF токен и кладем его в JWT, и параллельно отправляем вместе с токеном в куки, но без httpOnly
В момент запроса просто берем CSRF токен из куки, и отправляем на сервер. Там проверяем валидность JWT, и все 3 CSRF токена должны совпасть: в куки, в запросе в JWT.
Почему так?
1. JWT - подписанные данные и знакомая многим концепция, его время жизни тоже заложено в нем, а потому не страшно, что пользователь руками продлит куку.
2. Снижена нагрузка на сервер, ибо в JWT можно положить всякой полезной информации, чтобы не бегать в базу.
3. Не нужно хранилище для токенов, они не будут жить дольше самого JWT, который рассчитан на 10-15 минут.
4. Между вкладками и сессиями CSRF токен у нас актуален.
Интересно! А вот например, разработчик решил делать новый микросервис, ему все собрали. А для разработки ему нужно общение с другими сервисами. Как быть если у него local? Он подключается к prod окружению и дергает нужный сервис?
А как у вас устроен микросервис с PHP? Это nginx + php-fpm или другие решения?
Будет ли русская документация (Guide и Api) в Yii3?
1. Раньше человек делал все с помощью ручного станка и одну пару в неделю.
Сейчас на промышленном станке и десяток пар в день.
Получается ручной станок заменили на промышленный. Но человек остался исполнителем.
2. Сейчас человек на промышленном станке десяток пар в день.
В будущем робот на промышленном станке десяток пар в день (утрировано).
Получается станок тот же, а вот исполнитель другой.
Вот это и пугает. Луддиты думали что их заменит машина и у них не будет работы, но исполнителями той работы оставались они же. А здесь человек не остается исполнителем.
Конечно же сразу не будет целый завод без людей. Инженеры, механики и т.д. Но концептуально первая волна людей с низкой квалификацией нехило поднимет уровень преступности.