Исследование методов аутентификации пользователя для сайтов и API. Аутентификация по протоколу oAuth2.
- 00:02:39 - Allow
- 00:03:19 - Unauthorized
- 00:04:24 - Basic Auth
- 00:11:37 - Bearer Auth
- 00:15:53 - OAuth2
- 00:16:53 - OAuth2 Password Grant
- 00:20:26 - OAuth2 Refresh Token Grant
- 00:21:57 - Аутентификация через социальную сеть
- 00:26:34 - OAuth2 Authorization Code Grant
- 00:27:55 - OAuth2 Token Mode
- 00:28:25 - OAuth2 Code Mode
- 00:29:43 - Session Auth
- 00:31:53 - "Remember me" Cookie Auth
- 00:32:29 - Cookie Auth
- 00:35:09 - Подведение итогов
Скрытый контент (код, слайды, ...) для подписчиков
Чтобы не пропускать новые эпизоды подпишитесь на наш канал @deworkerpro в Telegram

Почему-то именно в этом видео отсутствует регулятор звука.
Весьма странный плеер. Фронтенд как всегда радует :)
А можно рассказать про OIDC?
Это тот же рассмотренный нами OAuth2, который дополнительно при указании
scope=openid
возвращает ещё один ID-токен формата JWT с данными пользователя.Спасибо.
Толково и кратко!, благодарю. А вопросы таковы :
нужно ли думать как удалять накопившиеся файлы сессий на сервере или работает автоматический надёжный механизм для их очистки?
Верно ли я понял, что если нужно надёжно разлогинивать пользователей после произвольного времени, то нужно костылить куки в дополнении к сессии, так как сами сессии не имеют нужных таймаутов. Или уже использовать аутентификацию по токенам ?
В PHP сессии автоматически чистятся по Cron через время
session.gc_maxlifetime
изphp.ini
По умолчанию установлено 30 минут.
Куки устанавливаются автоматически на время
session.cookie_lifetime
Спасибо. А как правильно быстро отменить сессию (запретить вход по старому паролю) не дожидаясь тайм-аута, например после смены пароля пользователя администратором?
Можно хранить сессии в базе данных в таблице
sessions(id,user_id,expires,value)
. И при смене пароля сразу по полюuser_id
всё удалять. Но тогда надо сделать ручную очистку через Cron по полюexpires
, чтобы база не переполнялась.Или войти через: