Э
Size: a a a
2020 July 19
AE
что не так?
AE
отозвать
ДК
Cheat Sheet: OAuth for Browser-Based Applications (e.g. a JavaScript SPA) - Scott Brady
https://www.scottbrady91.com/OAuth/Cheat-Sheet-OAuth-for-Browser-Based-Applications
https://www.scottbrady91.com/OAuth/Cheat-Sheet-OAuth-for-Browser-Based-Applications
ДК
@wasapWasapWasap вот статейка связанная
Э
Cheat Sheet: OAuth for Browser-Based Applications (e.g. a JavaScript SPA) - Scott Brady
https://www.scottbrady91.com/OAuth/Cheat-Sheet-OAuth-for-Browser-Based-Applications
https://www.scottbrady91.com/OAuth/Cheat-Sheet-OAuth-for-Browser-Based-Applications
да, спасибо, я наткнулся также на https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00
ДК
да, спасибо, я наткнулся также на https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-00
А какой у тебя сценарий?
ДК
У меня в общем токен хранится на бэкенде.
А вебу я отдаю простую стрингу после аутентификации, которую он передает в заголовке вместо жвт.
Плюс в том, что я всегда могу разорвать сессию, так как клиент не владеет токеном.
Если у пользователя есть рефреш токен, то там задача по инвалидации этого токена становится довольно неочевидной - например, один из вариантов делать блэклисты.
А вебу я отдаю простую стрингу после аутентификации, которую он передает в заголовке вместо жвт.
Плюс в том, что я всегда могу разорвать сессию, так как клиент не владеет токеном.
Если у пользователя есть рефреш токен, то там задача по инвалидации этого токена становится довольно неочевидной - например, один из вариантов делать блэклисты.
Э
А какой у тебя сценарий?
Тупой сценарий. Юзер вводит креды, они отправляются на бэк. Бэк делает запрос на Authorization server (AS) с кредами + client id, client secret. AS возвращает access. Бэк кладёт в header access token, передаёт клиенту, последний ставит токен в session storage и ходит на бэк с ним в хидере
ДК
Тупой сценарий. Юзер вводит креды, они отправляются на бэк. Бэк делает запрос на Authorization server (AS) с кредами + client id, client secret. AS возвращает access. Бэк кладёт в header access token, передаёт клиенту, последний ставит токен в session storage и ходит на бэк с ним в хидере
Ну вот в статье которую я скинул, чувак рекомендует использовать bff
ДК
Для максимальной секурности
Э
Ну вот в статье которую я скинул, чувак рекомендует использовать bff
ага, у нас как раз есть bff
MM
не запилят. спрингфокс мертв
Они что-то выпустили:
https://github.com/springfox/springfox/releases/tag/3.0.0
https://github.com/springfox/springfox/releases/tag/3.0.0
AE
Michael M
Они что-то выпустили:
https://github.com/springfox/springfox/releases/tag/3.0.0
https://github.com/springfox/springfox/releases/tag/3.0.0
Шикарно, даже spring integration
ДК
Michael M
Они что-то выпустили:
https://github.com/springfox/springfox/releases/tag/3.0.0
https://github.com/springfox/springfox/releases/tag/3.0.0
А в чём преимущество springfox перед springdoc?
AE
А в чём преимущество springfox перед springdoc?
Springdoc помнится был весьма ватным по возможностям
ДК
Springdoc помнится был весьма ватным по возможностям
Я, видимо, ими не пользуюсь.
Просто в прошлый раз при миграции на спринг бут 2.2.х (который спрингфокс не поддерживал) выпиливал все спрингфоксовские аннотации и заменял на спрингдоковские
Просто в прошлый раз при миграции на спринг бут 2.2.х (который спрингфокс не поддерживал) выпиливал все спрингфоксовские аннотации и заменял на спрингдоковские
ДК
И теперь думаю, а есть ли смысл обратно спрингфокс возвращать