JWT e sessioni
Per qualche motivo mi trovo a implementare pezzi di cose di autenticazione. Chi ci è passato sa che non è divertente. Mentre sto cercando di capire per qualche motivo fallisca la validazione di un JWT (risposta: la cifratura non è implementata nel pezzo di codice che sto estendendo. Applausi.) trovo un controllo per dare accesso a una risorsa verificando se l'Access Token è nel DB.
Cioè: la sessione è salvata sul server memorizzando l'intero Access Token.
Pazienza se l'Access Token è un JWT, con dentro tutte le informazioni del caso e sia stato pensato per l'autorizzazione stateless. Certo, così è facile invalidare le sessioni... e allora mi chiedo perché stiamo usando un JWT invece di una sessione lato server. Poi mi chiedono perché bestemmio.
Per un commento più esteso su questa idiozia segnalo questo articolo di joepie91 che nel 2016 — otto anni fa — diceva tutto già nel titolo: Stop using JWT for sessions.
Ancora qua stiamo.