Телеграмм чат группы symfony

09:03пожаловаться #3

D

Danila Stivrinsh

У меня вообще появилась мысль что jwt и симфони+доктрина в принципе не совместимы, потому что всем entity которые имеют прописанный FK на юзера нужен User для запросов

это ведь не значит что этот User нужно брать именно из бд

09:04пожаловаться #4

DS

Dmitry

это ведь не значит что этот User нужно брать именно из бд

Ну значит я что то не понял, начинаешь задавать глупые вопросы и сразу кретины вроде Антона начинают трешток бессмысленный

09:06пожаловаться #5

D

Danila Stivrinsh

Ну значит я что то не понял, начинаешь задавать глупые вопросы и сразу кретины вроде Антона начинают трешток бессмысленный

jwt изначально задумывался как безопасный способ передачи данных между истоником и получателем за счет подписи токена
вы можете вложить всю инфу о юзере которая вам нужна прямо в jwt и восстанавливать UserIdentity прямо из него

09:07пожаловаться #6

👤U

Ой запахло уязвимостью.

09:07пожаловаться #7

D

однако пхать всю инфу в jwt токен тоже не очень идея, его бы дополнительно шифровать чтобы скрыть данные от самого пользователя

09:07пожаловаться #8

👤U

Пришел нам значит токен.
Мы его разобрали. Узнали, что да есть юзер для такого токена (привет, БД) - отдали контент
Нет такого юзера и нам кормят левый токен - кинули deny.

09:08пожаловаться #9

D

👤 User

Ой запахло уязвимостью.

а можно подробнее где тут уязвимость вы видите ?

09:08пожаловаться #10

DS

👤 User

Пришел нам значит токен.
Мы его разобрали. Узнали, что да есть юзер для такого токена (привет, БД) - отдали контент
Нет такого юзера и нам кормят левый токен - кинули deny.

Без бд нужно

09:08пожаловаться #11

👤U

Custom Authentication System with Guard (API Token Example) (Symfony Docs)

Опять же. Чо вы так плагины любите юзать? Не нравится как он работает?
https://symfony.com/doc/current/security/guard_authentication.html
Вот вам гаед как поднять свой гард.

Symfony

Custom Authentication System with Guard (API Token Example): Guard authentication can be used to: Build a Login Form Create an API token authentication system (see below) Social Authentication (or us...

09:08пожаловаться #12

👤U

Я для тестов разные гарды покрутил. Сделал на стабильном API_KEY - добился, чтоб работало.
Выдаю юзерам токены и по ним через Bearer авторизую.
Дальше как угодно расширяйтесь.

09:09пожаловаться #13

DS

Dmitry

jwt изначально задумывался как безопасный способ передачи данных между истоником и получателем за счет подписи токена
вы можете вложить всю инфу о юзере которая вам нужна прямо в jwt и восстанавливать UserIdentity прямо из него

Ну достал я из жвт емейл и роль, но как мне получить полноценную entity если надо ещё 100500 полей

09:10пожаловаться #14

👤U

Тут может иметь место ошибка проектирования Entity.

09:10пожаловаться #15

👤U

Накой у вас в User 100500 полей?

09:10пожаловаться #16

DS

Это абстрактно, пускай 10 полей

09:11пожаловаться #17

👤U

User должен быть тонким. login, pass, token?

09:11пожаловаться #18

D

Danila Stivrinsh

Ну достал я из жвт емейл и роль, но как мне получить полноценную entity если надо ещё 100500 полей

я вам ответил выше, либо пхать целиком все в jwt либо использовать другие хранилища кроме бд
чем вам не угодила бд я не понимаю, скорость выборки юзера тут будет просто максимальной потому что пойдет по ИД

09:11пожаловаться #19

DS

Dmitry

я вам ответил выше, либо пхать целиком все в jwt либо использовать другие хранилища кроме бд
чем вам не угодила бд я не понимаю, скорость выборки юзера тут будет просто максимальной потому что пойдет по ИД

Я понимаю, просто если я лезу в базу нахера мне тогда жвт ?!