HH
Vlad
Вот это будет тяжело. Проверка acl может быть специфична для каждого сервиса и зависеть от его домена. Такой в auth server собирать странно
Например?
Посмотри keycloak там это есть.
Посмотри keycloak там это есть.
Size: a a a
2021 January 12
HH
Vlad
Вот это будет тяжело. Проверка acl может быть специфична для каждого сервиса и зависеть от его домена. Такой в auth server собирать странно
А оно нужно вообще? Ради чего делаете?
V
Human Human
А оно нужно вообще? Ради чего делаете?
ACL? Да, грубо говоря доступ до объекта, зависит от того, присутствует ли пользователь в группе допустимых, что может зависеть от организационной структуры в том числе
HH
Vlad
ACL? Да, грубо говоря доступ до объекта, зависит от того, присутствует ли пользователь в группе допустимых, что может зависеть от организационной структуры в том числе
Не, я про auth server
HH
Как отдельный сервис.
HH
Vlad
Вот это будет тяжело. Проверка acl может быть специфична для каждого сервиса и зависеть от его домена. Такой в auth server собирать странно
Ну вот пример. Можно по-разному на самом деле.
Создаем нового сотрудника. Получаем разрешение у auth сервера на создаение. Тк мы админы - он нам его дает. Далее делаем запрос добавления этого ресурса в auth acl с нужными разрешениями. Далее делаем запрос создания самого сотрудника в ресурс сервере.
Создаем нового сотрудника. Получаем разрешение у auth сервера на создаение. Тк мы админы - он нам его дает. Далее делаем запрос добавления этого ресурса в auth acl с нужными разрешениями. Далее делаем запрос создания самого сотрудника в ресурс сервере.
V
Human Human
Не, я про auth server
рассматриваю общепринятый подход по поводу организации с отдельным сервисом + OAuth jwt в микросервисной архитектуре)
Аутентификация то уж точно у всех сервисов будет одинаковая, дублировать в каждом микросервисе мне кажется излишне
Аутентификация то уж точно у всех сервисов будет одинаковая, дублировать в каждом микросервисе мне кажется излишне
AK
@bsideup привет, вопрос по тестконтейнерс: есть необходимость создавать юзера и запускать из-под него приложение в контейнере по флагу. Есть ли возможность использовать для этого multi-stage build? Не нашёл как через API указать нужный target
V
Human Human
Ну вот пример. Можно по-разному на самом деле.
Создаем нового сотрудника. Получаем разрешение у auth сервера на создаение. Тк мы админы - он нам его дает. Далее делаем запрос добавления этого ресурса в auth acl с нужными разрешениями. Далее делаем запрос создания самого сотрудника в ресурс сервере.
Создаем нового сотрудника. Получаем разрешение у auth сервера на создаение. Тк мы админы - он нам его дает. Далее делаем запрос добавления этого ресурса в auth acl с нужными разрешениями. Далее делаем запрос создания самого сотрудника в ресурс сервере.
идею понял, почитаю, что может keycloack с acl, спасибо. А что делать со своей структурой хранения текущей?
Переходить и использовать keycloack например? А для динамического обновления по интеграции все на модель keycloack завязывать получается?
Переходить и использовать keycloack например? А для динамического обновления по интеграции все на модель keycloack завязывать получается?
HH
Vlad
рассматриваю общепринятый подход по поводу организации с отдельным сервисом + OAuth jwt в микросервисной архитектуре)
Аутентификация то уж точно у всех сервисов будет одинаковая, дублировать в каждом микросервисе мне кажется излишне
Аутентификация то уж точно у всех сервисов будет одинаковая, дублировать в каждом микросервисе мне кажется излишне
Просто это может быть как купить огромный бульдозер, чтобы копать грядки на участке
HH
Дорого и не нужно
V
Human Human
Просто это может быть как купить огромный бульдозер, чтобы копать грядки на участке
а как решить задачу аутентификации тогда по-другому? распределенный persistent storage сессий?
В каждом микросервисе при каждом запросе аутентифицировать пользователя?
В каждом микросервисе при каждом запросе аутентифицировать пользователя?
HH
Vlad
а как решить задачу аутентификации тогда по-другому? распределенный persistent storage сессий?
В каждом микросервисе при каждом запросе аутентифицировать пользователя?
В каждом микросервисе при каждом запросе аутентифицировать пользователя?
Вы хотите масштбироваться? Это можно делать в рамках монолита.
keycloak особо не юзал, там можно да
https://www.keycloak.org/docs/latest/authorization_services/#_service_protection_api
keycloak особо не юзал, там можно да
https://www.keycloak.org/docs/latest/authorization_services/#_service_protection_api
V
Human Human
Вы хотите масштбироваться? Это можно делать в рамках монолита.
keycloak особо не юзал, там можно да
https://www.keycloak.org/docs/latest/authorization_services/#_service_protection_api
keycloak особо не юзал, там можно да
https://www.keycloak.org/docs/latest/authorization_services/#_service_protection_api
мы планируем разделяться из монолита и сейчас продумываем как инфраструктурные задачи реализовать
HH
Vlad
а как решить задачу аутентификации тогда по-другому? распределенный persistent storage сессий?
В каждом микросервисе при каждом запросе аутентифицировать пользователя?
В каждом микросервисе при каждом запросе аутентифицировать пользователя?
Да по сути можно банально обращаться к общему стораджу сессий
HH
Vlad
мы планируем разделяться из монолита и сейчас продумываем как инфраструктурные задачи реализовать
Просто мне кажется важным понимать зачем. От этого можно разные решение придумывать. Распределенные штуки обычно очень сложные, а значит дороги в разработки.
HH
Будет боль, особенно если у команды мало опыта с этим.
V
Human Human
Просто мне кажется важным понимать зачем. От этого можно разные решение придумывать. Распределенные штуки обычно очень сложные, а значит дороги в разработки.
вопрос не в этом, а в том, как это лучше сделать авторизацию и аутентификацию с учетом требований и понять ограничения и что придется менять)
HH
Vlad
вопрос не в этом, а в том, как это лучше сделать авторизацию и аутентификацию с учетом требований и понять ограничения и что придется менять)
На самом деле без конкретного кейса и примеров тут так не посоветуешь
SE
@bsideup привет, вопрос по тестконтейнерс: есть необходимость создавать юзера и запускать из-под него приложение в контейнере по флагу. Есть ли возможность использовать для этого multi-stage build? Не нашёл как через API указать нужный target
привет! Не совсем понял как эти два предложения между собой связаны 😄 multistage Dockerfile-ы можно использовать, но target stage указать нельзя, будет использоваться последний