QA Portal | Тестирование

JWT, или JSON Web Token

JWT — это открытый стандарт RFC 7519, который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде JSON-объекта. Эта информация может быть проверена и заслуживает доверия, так как подписана цифровой подписью. JWT может использовать либо общий секрет (через алгоритм HMAC), либо пару открытого и закрытого ключей с использованием RSA или ECDSA.

Авторизация — наиболее распространенный сценарий использования JWT. После аутентификации пользователя JWT позволяет ему получать доступ к определённым ресурсам или сервисам, реализуя тем самым механизм авторизации. То есть JWT передаёт серверу информацию о пользователе и его роли/правах доступа. JWT устраняет необходимость хранения сессионных данных на сервере, что снижает нагрузку. Структура JWT JWT состоит из трёх частей: Header, Payload и Signature. 1. Header (Заголовок) Обычно содержит тип токена (JWT) и алгоритм подписи (например, RSA, HMAC). json { "alg": "RS384", "typ": "JWT" }``` 2. Payload (Полезная нагрузка) Основная часть, содержащая данные о пользователе и дополнительные параметры, например: 🔹sub — идентификатор пользователя 🔹iat — время выдачи токена 🔹exp — время истечения срока действия токена 🔹role — роль пользователя (например, "admin")

    
        {
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "iat": 1516239022
}{}
    

3. Signature Для создания подписи используется комбинация алгоритма хеширования и секретного ключа или пары открытого/закрытого ключей:

    
        signature = hashing_algorithm(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
){}
    

Формат JWT

    
        <base64Url(header)>.<base64Url(payload)>.<base64Url(signature)>{}
    

— Как работает JWT 1. Авторизация: После входа пользователя в систему (например, по логину и паролю) сервер генерирует JWT, содержащий информацию о пользователе (имя, роль, права доступа) и другие важные параметры. 2. Хранение токена: Клиент получает токен и сохраняет его (обычно в localStorage или в cookies). 3. Использование токена: Каждый последующий запрос к серверу включает токен в заголовке Authorization. Сервер проверяет его подлинность, подпись и срок действия (по iat/exp), пока токен действителен. — Как происходит проверка токена 1. Сервер получает JWT. 2. Декодирует части header и payload. 3. Проверка подписи: с помощью секретного ключа или открытого ключа сервер пересчитывает подпись токена и сравнивает её с полученной. 4. Проверка срока действия токена: по параметру exp. Если токен истёк, пользователь может получить новый токен с помощью refresh-токена (обычно это происходит автоматически). Single Sign-On (SSO) на базе JWT JWT можно использовать для реализации Single Sign-On (SSO) — входа в систему один раз с возможностью последующего доступа к нескольким независимым приложениям без повторной аутентификации. JWT в этом случае служит маркером доступа, сохраняемым после первой аутентификации и используемым для авторизации в других сервисах. Например, после входа на корпоративную платформу пользователь может использовать один и тот же JWT для доступа к электронной почте, файлам или чатам. Полезные ресурсы: 🔹 JWT playground 🔹 Видеоролик с объяснением 👉 @QAPortal

Бесит тестировать адаптив в DevTools? 🤬 Масштаб постоянно слетает, а панели разработчика сжирают пол-экрана? Попробуй простое расширение для Chrome, которое экономит кучу времени при проверке верстки. Как это работает: 👉 Один клик - и ты переключаешься между экранами iPhone, Android и планшетов без перезагрузок. 👉 Делай аккуратные скриншоты - хочешь с рамкой телефона, хочешь без нее. 👉 Записывай видео конкретного куска экрана прямо в браузере. Проверяй адаптивность быстро, точно и без нервов 🧘‍♂️ 👉 Установить расширение из Chrome Web Store erid: 2W5zFH6G4JM

Интуитивно поняли 👉 @QAPortal

100 Команды SQL с пояснениями 👉 @QAPortal

Как начать работать в IT, если ты ничего не понимаешь в коде? 🤔 Самый быстрый вариант – это ручное тестирование. Порог входа низкий, а зарплаты со старта от 100 тыс.₽ Но вместо того, чтобы начать, многие застревают в сомнениях: «а вдруг не потяну?», «а какие там задачи?», «а какой курс выбрать?». Роман Цакунов (эксперт в IT с опытом 8 лет) придумал идеальный формат для таких сомневающихся – 4 бесплатных пробных дня. За это время ты без вложений: – увидишь реальные задачи тестировщика – поймешь, как устроена сфера изнутри – точно решишь: стоит тебе идти в IT или нет – поймешь, как выглядит обучение Никакой воды, только практика и факты. Сделай первый шаг туда, куда давно хотел 👇 t.me/rvtsakunov_manual

Ну а вдруг 👉 @QAPortal

JWT Тренажёр JWT-тренажёр предназначен для изучения принципа работы авторизации с использованием Access и Refresh токена С его помощью можно поработать с двумя видами токенов, узнать зачем нужен Bearer и в чем отличие авторизации через Сессии от JWT ⛓ Ссылка: тык 👉 @QAPortal | #ресурсы

Импульс для карьеры в YADRO Стажировка, после которой реально остаются – в прошлом году оффер получили 85% участников. Направлений много: C, Go, Python, C++, тестирование, админка, сети, менеджмент и ещё 20+ вариантов. Что дают: реальные задачи, работа с инженерами, лекции и гибкий формат (офис / удалёнка / гибрид). Берут студентов очной формы обучения от 2 курса и выпускников 2026 (если идёте в магу). Вебинары 16 и 23 апреля, там все детали. Регистрация уже открыта

Это было жестоко 👉 @QAPortal

Сам свой код и тестируй: кто [на самом деле] должен искать баги

Не так давно с коллегами обсуждали самостоятельное тестирование свеженаписанного кода. Один тимлид из нашей команды рассказал про разработчика, который отдавал код на тест, не проверяя за собой. Аргумент у него был «железный»: проверка не его забота, для этого есть тестировщики. Если честно, меня удивляет, что такая позиция в мире современного ИТ всё ещё существует. Так что я решил собрать аргументы и объяснить, почему самотестирование – важная часть рутины разработчика. Будет интересно послушать в комментариях аргументы тех, кто с этим не согласен.

Читать тут 👉 @QAPortal