HH
Vlad
Да, сейчас смотрю, спасибо. А вообще правильно ли использовать роли возвращаемые в токене от auth server?
От кейса зависит. Вообще по идее auth server уже должен знать дает он разрешение на какое то действие или нет. Зачем еще раз проверять?
Size: a a a
2021 January 12
HH
Мб у вас легаси и переписывать эту часть нет смысла
MA
Vlad
Да, сейчас смотрю, спасибо. А вообще правильно ли использовать роли возвращаемые в токене от auth server?
Замечу, что часть данных можно положить в JWT токен, а часть получить от keycloak напрямую бэкендом.
Ответ будет зависеть от того, боимся ли мы раскрывать роли и хотим ли мы пожертвовать этим ради скорости.
Ответ будет зависеть от того, боимся ли мы раскрывать роли и хотим ли мы пожертвовать этим ради скорости.
V
Human Human
Мб у вас легаси и переписывать эту часть нет смысла
Да, легаси. Скорее понять как нужно мигрировать и переписывать
HH
Замечу, что часть данных можно положить в JWT токен, а часть получить от keycloak напрямую бэкендом.
Ответ будет зависеть от того, боимся ли мы раскрывать роли и хотим ли мы пожертвовать этим ради скорости.
Ответ будет зависеть от того, боимся ли мы раскрывать роли и хотим ли мы пожертвовать этим ради скорости.
Тогда нарушается вся суть того, что мы делает это все распределенным. Это будут обычные стейтфул сессии
V
Human Human
От кейса зависит. Вообще по идее auth server уже должен знать дает он разрешение на какое то действие или нет. Зачем еще раз проверять?
Это звучит странно, он должен знать права для каждого действия? Я думал он может максимум выдать роли которые есть у пользователя
HH
Vlad
Да, легаси. Скорее понять как нужно мигрировать и переписывать
По чучуть распиливать. Вообще переход на микросервисы опасная штука, поэтому стоит двигаться очень медленно.
V
Human Human
По чучуть распиливать. Вообще переход на микросервисы опасная штука, поэтому стоит двигаться очень медленно.
Это понятно)
HH
Vlad
Это звучит странно, он должен знать права для каждого действия? Я думал он может максимум выдать роли которые есть у пользователя
Ну в этом есть суть микросервисов. Мы делим отвественность. Auth server отвечает за выдачу разрешений на действия. Те занимается аутентификацией, авторизацией
HH
Vlad
Так вот и вопрос, как ее вкрячить в auth server и надо ли?
Странный вопрос. Типа вы решили отделить auth server как сервис и спрашиваете надо ли?)
V
Human Human
Странный вопрос. Типа вы решили отделить auth server как сервис и спрашиваете надо ли?)
Я не до конца разобрался в OAuth и как используется в контексте service-service(т.к. кейс авторизации клиента у третьих лиц, который часто объясняется более менее понятен) понимаю что сейчас своя у нас своя модель ролей и пользователей и пытаюсь понять как это натянуть) с учетом, что потребуется ещё и ACL и обновление ролей и клиентов из внешней системы
V
Human Human
Ну в этом есть суть микросервисов. Мы делим отвественность. Auth server отвечает за выдачу разрешений на действия. Те занимается аутентификацией, авторизацией
Вот это будет тяжело. Проверка acl может быть специфична для каждого сервиса и зависеть от его домена. Такой в auth server собирать странно