Auth: use JWT

[FilipChalupa]

Migrace ukládání přihlášeného uživatele z in memory session na JWT v cookie.

Výhody:

• Po restartu serveru zůstanou uživatelé přihlášení. K odhlašování dříve docházelo například kvůli úpravám materiálů před a při lekci.
• Claims a další info o uživateli se načítá s každým requestem, takže už není potřeba se odhlásit a přihlásit, aby se projevila nová práva.
• Kromě cookie s názvem token je možné se autorizovat i přes header Authorization: Bearer ***JWT***, což se může hodit především v api endpointech.

Ukázka komunikace s api přes cURL

curl 'http://localhost:3000/api/users' \
  -H 'Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dpbiI6IkZpbGlwQ2hhbHVwYSIsImlhdCI6MTY1MDg4NjE3M30.wDyUQbhqKn0T2apZUa3HICuL5SU4887VD_Hu0EDOkrU' \
  --compressed

Response

[{"url":"http://localhost/api/users/FilipChalupa","data":{"login":"FilipChalupa","name":"Filip Chalupa"}}]

[podlomar]

Uff, chvilku mi zabralo se tím probrat, ale je to super, díky moc. Taky jsem si díky tobě konečně nastudoval, jak přesně fungují JWT tokeny, tak mám dobrý pocit, že zase něčemu o kousek víc rozumím.