SZ
Так а нечем же больше пользоваться пока что :))
Size: a a a
2021 August 13
ع
народ каких-таких земель такой мудрый?
SZ
Ну тех, которые считают, что http поверх tls это не http :p
a
А чем плох вариант, когда мы просто берем только 4 (т.е. целостность запроса защищается, например, HMAC). А авторизуем запрос без всех этих JWT и прочих сложностей, а просто либой (раз у нас всё равно есть доступы в разные базы). Заодно клиенты могут использовать сколько угодно независимых инстансов.
SZ
Тем, что нет доступа к разным базам
SZ
Между бэком и аутхом предполагается обычный rest
a
Ну, к базам сессий то есть... Значит туда можно кеш ACLей положить
SZ
Что ты имеешь ввиду?
SZ
Бэк не знает пароля клиента
a
"но зачем" (c) ?
SZ
Ну типа ты хочешь логиниться в моёпорно.рф через аккаунт на госуслугах, но не хочешь отправлять пароль на млёпорно
a
Так мы же вроде говорим о server2server? Или уже о browser2server SSO?
SZ
Ну так моёпорно должен будет сходить в госуслуги же? Это сервер 2 сервер :)
МИ
Не затруднит ли вас описать эту защиту, как выше описали установление сессии? Был бы весьма признателен.
МИ
я без иронии, если что
a
В общем, обсуждать что-то не договариваясь об определениях - это последнее дело. :) Для server2server клиент-бэкенд взаимодействия все эти сложности не нужны и только уменьшают availability.
c
Всё же авторизация. Токен содержит инфу о ролях.
c
Сорри, я пас. Не располагаю свободным временем в достаточном количестве. В разговор о JWT-то случайно влез, уж пришлось доходить до логического завершения.
Инфы об этом вполне достаточно, все алгоритмы известны и стандартизованы.
Или можно нанять секьюрити инженера, он займётся конкретными предложениями для конкретных систем.
Тем более это всё здесь оффтоп и хорошо, что мы все ещё не огребли.
Инфы об этом вполне достаточно, все алгоритмы известны и стандартизованы.
Или можно нанять секьюрити инженера, он займётся конкретными предложениями для конкретных систем.
Тем более это всё здесь оффтоп и хорошо, что мы все ещё не огребли.
SZ
Авторизация -- это когда юзеру разрешают что-то делать (выполнить запрос).
Аутентификация -- это когда юзера проверяют, тот ли это юзер (например, по паролю)
Аутентификация -- это когда юзера проверяют, тот ли это юзер (например, по паролю)
c
Всё так. Разрешают что-то делать в зависимости от, например, ролей. Получил токен, проверил роли, записал их в сессию, дальше разрешаешь пользователю что-то делать. Сойдёмся на том, что через весь этот процесс осуществляются все три действия - идентификация, аутентификация, авторизация.