Follow

Ah oui se rendre compte qu'on a bossé deux jours pour rien, on adore :D

@Elza l'auth dans Funkwhale était gérée avec des token JWT jusqu'à maintenant.

Il y a deux jours, j'ai bossé sur dev.funkwhale.audio/funkwhale/ pour intégrer une auth plus traditionnelle (et plus secure) par cookie.

Sauf que du coup, ça rend impossible l'utilisation d'un front avec une API qui est pas sur le même domaine :'(

Dis comme ça c'est logique, mais je m'en suis rendu compte après avoir bossé sur la feature…

@Elza @eliotberriot JWT c'est juste sensible au vol/replay du token, comme un cookie, mais tu peux le lier a l'ip si tu le souhaites dans ton payload, ou avec d'autres methodes de validation, et c'est ausi secure que ton secret/algo utilise.. et/ou utiliser jwe si tu veux ajouter une couche d'encryption :)

/me aime bien JWT :)

@gled @Elza ben disons qu'un cookie http only est pas sensible au vol.

Mais on est d'accird, le token est plus souple

@eliotberriot @Elza tu peux tjrs hijack de la session sous certaines conditions, meme si c'est un peu complique ;)

@eliotberriot Nooooooooooooo

Hâte du daily de demain pour savoir 😁

Sign in to participate in the conversation
Mastodon

mastodon.eliotberriot.com is one server in the network