Подтемы
12 вопросов
-
senior theory Какие OAuth2 flow существуют, какой выбрать для SPA / mobile / server-side веб / server-to-server, и чем OIDC отличается от OAuth2?
-
senior theory Что такое PKCE и какую конкретно атаку он предотвращает? Достаточно ли в 2026 использовать только client_secret вместо PKCE?
-
senior theory Какой алгоритм хеширования паролей выбрать в 2026: bcrypt, scrypt, Argon2id? Что такое cost-фактор и как его подбирают?
-
senior design Спроектируй процесс восстановления доступа, если пользователь потерял второй фактор (телефон с TOTP / устройство с Passkey). Какие угрозы учесть?
-
senior theory JWT — stateless, и это его главная слабость для revocation. Сравни 3 стратегии отзыва (blacklist, short-TTL + refresh, jti tracking), их latency/storage cost, …
-
senior theory Спроектируй JWK rotation без downtime. Что в JWKS endpoint, как клиенты кэшируют, какой grace period для старых ключей, как rotation выглядит в k8s/Vault?
-
senior theory Что такое refresh token rotation + reuse detection? Покажи схему таблицы, алгоритм обнаружения reuse, и как обрабатывать race condition с двумя параллельными r…
-
senior theory Сравни CSP nonce vs hash для inline scripts. Что такое strict-dynamic? Покажи пример CSP политики и расскажи про Trusted Types API — как он защищает от DOM XSS.
-
senior theory Подробно расскажи про cookie security attributes: HttpOnly, Secure, SameSite (Lax/Strict/None), `__Host-` / `__Secure-` prefixes. Покажи production-grade cooki…
-
senior theory Что такое Open Policy Agent (OPA) и язык Rego? Покажи пример политики для ABAC (multi-tenant с атрибутами user.role, resource.owner_id, action), как deploy в k…
-
senior theory В multi-tenant SaaS у тебя слои разрешений: tenant-policy, role-policy, resource-ACL, explicit user grants/denies. Как комбинировать (deny-overrides vs allow-o…
-
senior theory Что такое session fixation и как от неё защищаться? Покажи правильный flow login с ротацией session id, и polный список cookie attrs для session cookie на prod…