AO
Size: a a a
2019 April 23
MK
я видел
Ну и как инвалидировать, если ключ один на всех?
AO
"поздравляем, вы только что переизобрели сессии"
AK
Ну и как инвалидировать, если ключ один на всех?
а вот это совершенно необязательно, он не обязан быть один на всех, у нас допустим из трёх частей состоит
AO
я за то, чтобы выносить всё то, что связано с auth на сторонние сервисы типа Auth0 или Okta
AT
да, похоже django-mptt-admin это то что мне нужно
AO
НЕ генерировать самим эти JWT, а только проверять права доступа в них, инвалидация - тоже через эти сервисы
AT
раньше был mptt вроде для этих целей, если не ошибаюсь
спасибо Александр
AT
спасибо Александр
да не за что, обращайся если что
MK
а вот это совершенно необязательно, он не обязан быть один на всех, у нас допустим из трёх частей состоит
Если ключ не один на всех, то вы стучитесь в базу проверять валидность ключа персонально?
Поздравляю, вы переизобрели сессии.
Поздравляю, вы переизобрели сессии.
AO
в том и фишка) сессии и нужно "перезобрести" чтобы оно дружило с микросервисами
MK
я за то, чтобы выносить всё то, что связано с auth на сторонние сервисы типа Auth0 или Okta
А как это работает у них? Как проверить валидность JWT? Ключом? Или запросом в их API?
AO
А как это работает у них? Как проверить валидность JWT? Ключом? Или запросом в их API?
они дают публичный ключ
AO
им можно проверять JWT
MK
им можно проверять JWT
Ну то есть, как бы, ничего не изменилось. По прежнему нельзя инвалидировать один JWT без замены ключа?
AK
Если ключ не один на всех, то вы стучитесь в базу проверять валидность ключа персонально?
Поздравляю, вы переизобрели сессии.
Поздравляю, вы переизобрели сессии.
нет, не лезу, вот в кэш да лезу (все данные туда заранее предзагруженны), помимо этого токен является selfhosted и сразу содержит в всебе дополнительную нужную информацию, и в отличии от стандартных сессий джанги нигде не хранится
AK
Ну то есть, как бы, ничего не изменилось. По прежнему нельзя инвалидировать один JWT без замены ключа?
возможность отозвать каждый токен отдельно — очень жёсткое требование и далеко не всегда нужно
AO
Ну то есть, как бы, ничего не изменилось. По прежнему нельзя инвалидировать один JWT без замены ключа?
там у jwt есть id
AO
можно при желании по ним
AO
и на стороне Auth0 там что-то было