Инструкции, а не Вайб.

К теме про процесс передачи инструкций Агенту. Вот очередное подтверждение:

Задаю инструкцию по шагам о переходе с Basic Auth на JWT токен, агент пишет код, вношу правки на каждом этапе тестирую - все круто access_token работает, не круто refresh_token то же работает.

- Генерация access и refresh токенов оказывается идентична: у них одинаковая подпись и нет отличительного признака (claim) типа токена. В итоге фильтр просто проверяет подпись/срок действия и принимает оба.

- Аутентификация в фильтре проверяет только валидность и извлекает username, не различая тип токена.

- Логика логина/рефреша генерирует два токена одним методом, без различий в claim’ах.

- Сервис не добавляет claim о типе токена.

Ожидаемое поведение в системе: API должны принимать ТОЛЬКО access_token. Refresh_token используется только для выпуска нового access_token и не должен авторизовать доступ к обычным защищенным эндпоинтам.

Задаем задачу - Агент исправляет. Виноват ли ИИ, конечно нет. Это хороший пример - легкого вайба не получится. Все так же придется учить "базу"

Инструкции, а не Вайб. К теме про процесс передачи инструкций Агенту.

Около минуты

7 октября 2025