T
Как реализовать механизм personal access token-ов? (Как не гитхабе, гитлабе, етк)
Дайте ссылку на гайд кто-нибудь, я чёто не могу найти
Size: a a a
2020 August 20
AE
Это же тупо oauth2
ДК
Это же тупо oauth2
Да?
ДК
Не понимаю в таком случае, как это сделано
ДК
Я же не буду чуваку jwt отдавать
AD
Дожили, иде под плагины пилим
Так так и надо же, под задачи
AE
Я же не буду чуваку jwt отдавать
надо изучать детальнее что там
ДК
надо изучать детальнее что там
Да, мне именно хочется чью-нибудь реализацию посмотреть или статью прочитать, как делать и какие подводные.
И чёто не могу найти сходу :(
И чёто не могу найти сходу :(
A
Да, мне именно хочется чью-нибудь реализацию посмотреть или статью прочитать, как делать и какие подводные.
И чёто не могу найти сходу :(
И чёто не могу найти сходу :(
Вот максимально подробно тут - https://oauth.net/2/ но там много всего и читать придется долго
ДК
Вот максимально подробно тут - https://oauth.net/2/ но там много всего и читать придется долго
Я может тупой, но чёт про приватные токены не нашел инфу там
ch
что такое приватные токены?
AE
что такое приватные токены?
api key
AE
Я может тупой, но чёт про приватные токены не нашел инфу там
Кстати, а ты искал как делают api key?
С
Как реализовать механизм personal access token-ов? (Как не гитхабе, гитлабе, етк)
Дайте ссылку на гайд кто-нибудь, я чёто не могу найти
Дайте ссылку на гайд кто-нибудь, я чёто не могу найти
Примерно 100 строк (spring security), код показать не могу, NDA. Но вообще ничего сложного там нет.
ДК
С
Примерно 100 строк (spring security), код показать не могу, NDA. Но вообще ничего сложного там нет.
Ну а в чем суть то
ДК
Мне код не нужен, абстрактно просто
С
API key привязывается к пользователю, фильтр по ключу (в хидере или ещё как) находит пользователя и прокидывает его уже дальше по цепочке.
ДК
Кстати, а ты искал как делают api key?
Ну чёт сходу не нашел инфы.
Я в итоге, наверное, буду делать просто по-своему с обменом этого api key на jwt где-нибудь на gw.
Я так понимаю, что апи ключ надо хэшировать, поэтому наверное надо в контракте обязать передавать username + API key, чтобы сначала найти пользователя, а потом проверять с каким из хэшей матчится присланный ключ.
Ну и про время жизни жвт тоже не до конца очевидно.
Было бы проще сделать этот жвт вечным, так как он клиенту не отдается, и просто удалять его из базы при revoke или когда мы блокируем пользователя, но видимо это не совсем корректно.
Я поэтому и хотел какую-то статейку или код посмотреть чей-нибудь.
Я в итоге, наверное, буду делать просто по-своему с обменом этого api key на jwt где-нибудь на gw.
Я так понимаю, что апи ключ надо хэшировать, поэтому наверное надо в контракте обязать передавать username + API key, чтобы сначала найти пользователя, а потом проверять с каким из хэшей матчится присланный ключ.
Ну и про время жизни жвт тоже не до конца очевидно.
Было бы проще сделать этот жвт вечным, так как он клиенту не отдается, и просто удалять его из базы при revoke или когда мы блокируем пользователя, но видимо это не совсем корректно.
Я поэтому и хотел какую-то статейку или код посмотреть чей-нибудь.
ДК
С
API key привязывается к пользователю, фильтр по ключу (в хидере или ещё как) находит пользователя и прокидывает его уже дальше по цепочке.
В ключе имя пользователя зашито что ли или как вы этого пользователя находите?