Size: a a a

Чат подкаста «Разбор Полётов»

2021 August 19

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Ну да, а на 5млн пользователей надо бы пару тысяч аутентификаций получить.
И молиться, чтобы не было сбоя в новогоднюю ночь, когда всем что-то обязательно нужно сделать...
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
А сколько операций обновления токена в секунду? Число аутентификаций меня как раз не очень волнует, что там делать-то.
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
И в чем вообще разница между "получить новый токен" или "обновить пару токенов"?
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Ну, разве что лишний поход в хранилище секретов, но это не страшно...
источник

AZ

Alexey Zavyalov in Чат подкаста «Разбор Полётов»
ну больше тоже можно выжать, инстанс побольше взять и вперед. мы цену/качество искали
источник

АЗ

Алексей Зайцев... in Чат подкаста «Разбор Полётов»
для получения нового токена передаем пароль,
1) операция передачи пароля по сети не очень безопасна
2) расчет шэша пароля очень дорог, по умолчанию 27 тыс итераций функции PBKDF2 приводит к тому что cpu отжирается
намного выгоднее выполнить рефреш токена. операция раз в 100 дешевле чем получение нового токена
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
По CPU проверка пароля - да, дороже. По IOPS - скорее нет, но сильно зависит от того, как выстроено в KC хранение пар токенов и проверка одноразовости refresh-tokens.
Меня обычно IOPS больше волнует, там сложнее масштабироваться
источник

D

Dima in Чат подкаста «Разбор Полётов»
а у вас же не jwt?
источник

D

Dima in Чат подкаста «Разбор Полётов»
нормальные сессии?
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Э, у нас access-tokens, refresh-tokens, confirmation-tokens, remember-me-tokens и авторизационная сессия (которую требует OWASP)
источник

AZ

Alexey Zavyalov in Чат подкаста «Разбор Полётов»
кстати, пользователи где лежали? в самом кейклоке?
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Но ключ сессии - в access/refresh живет
источник

АЗ

Алексей Зайцев... in Чат подкаста «Разбор Полётов»
в самом кк, но я скручивал количество итераций функции PBKDF2. кому то такое не подойдет
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Т.е. сессия - это инструмент работы сотрудника СБ в первую очередь. А уже в рамках нее выдаются пары токенов.
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Ну, настройки хэширования вообще всегда очень индивидуальны, нужно под железо подбирать и уровень паранойи.
источник

AZ

Alexey Zavyalov in Чат подкаста «Разбор Полётов»
у нас в 2 сторонних бд лежат. user federation провайдеры писали
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
А при этом пароли - у вас, а не у них?
источник

AZ

Alexey Zavyalov in Чат подкаста «Разбор Полётов»
бд тоже наши. пароли там
источник

АЗ

Алексей Зайцев... in Чат подкаста «Разбор Полётов»
можно прибить сессию, но при этом токен будет продолжать работать.  токены надо отзывать через механизм отзыва
источник

PD

Phil Delgyado in Чат подкаста «Разбор Полётов»
Но я все равно и PBDF2 и bcrypt воспринимаю как инвестицию в светлое будущее квантовых вычислений.
Реально они сейчас избыточны (при нормальных требованиях к паролям, нормальных солях и т.д.)
источник