AO
это всё хорошо и правильно и проблема реально только в том, что через npm можно поставить непонятно что по зависимостям, если бы не это, можно было бы назвать классические сессии устаревшими и ненужными
Size: a a a
2019 April 23
MK
Ну я сейчас только один вариант увидел, который более-менее нормальный (на мой дилетантский взгляд) — хранилище отозванных токенов.
AO
ну да, так и делают
AO
в том же simplejwt есть реализация
AO
на стороне Auth0 такое тоже вроде было, но я не помню
MK
Кстати, раз уж тема зашла, а есть какой auth микросервис типа cognito или auth0, но self hosted?
AO
Keycloak?
MK
Keycloak?
Пользовался?
MK
Видел негативные отзывы про него. Кажется, про нехватку документации, если правильно помню.
AO
Пользовался?
нет, я за SaaS'ы
AO
Gravitee ещё есть
AO
ну, если нужен self-hosted - это "готовься страдать"
AO
SaaS'ы всегда проще)
MK
Я, кстати, jwt юзаю. Но не для аутентификации.
У меня два сервера обмениваются друг с другом инфой через незащищенный канал (скан qr кодов двумя клиентами). Вот qr коды у меня rsa jwt.
У меня два сервера обмениваются друг с другом инфой через незащищенный канал (скан qr кодов двумя клиентами). Вот qr коды у меня rsa jwt.
AO
мне вообще не нравится, когда делают упор на jwt
AO
то есть он есть
AO
но кроме него там и другое
MK
SaaS'ы всегда проще)
Да начальник что-то воспротивился идее делиться данными о клиентах с амазоном.
AO
лучше OIDC продвигать (который и JWT включает и OAuth)
AO
OIDC это как SAML