Size: a a a

2020 October 19

👤U

👤 User in symfony
А что мешает взять JWT и как юзер провайдер использовать не доктрину?
источник

👤U

👤 User in symfony
Симфони - инструмент. Если вы настроили entity как провайдер пользователя - почему security должен что-то другое использовать?
источник

А

Антон in symfony
Danila Stivrinsh
У меня вообще появилась мысль что  jwt и симфони+доктрина в принципе не совместимы, потому что всем entity которые имеют прописанный FK на юзера нужен User для запросов
Проснись, ты обосрался
источник

D

Dmitry in symfony
Danila Stivrinsh
У меня вообще появилась мысль что  jwt и симфони+доктрина в принципе не совместимы, потому что всем entity которые имеют прописанный FK на юзера нужен User для запросов
это ведь не значит что этот User нужно брать именно из бд
источник

DS

Danila Stivrinsh in symfony
Dmitry
это ведь не значит что этот User нужно брать именно из бд
Ну значит я что то не понял, начинаешь задавать глупые вопросы и сразу кретины вроде Антона начинают трешток бессмысленный
источник

D

Dmitry in symfony
Danila Stivrinsh
Ну значит я что то не понял, начинаешь задавать глупые вопросы и сразу кретины вроде Антона начинают трешток бессмысленный
jwt изначально задумывался как безопасный способ передачи данных между истоником и получателем за счет подписи токена
вы можете вложить всю инфу о юзере которая вам нужна прямо в jwt и восстанавливать UserIdentity прямо из него
источник

👤U

👤 User in symfony
Ой запахло уязвимостью.
источник

D

Dmitry in symfony
однако пхать всю инфу в jwt токен тоже не очень идея, его бы дополнительно шифровать чтобы скрыть данные от самого пользователя
источник

👤U

👤 User in symfony
Пришел нам значит токен.
Мы его разобрали. Узнали, что да есть юзер для такого токена (привет, БД) - отдали контент
Нет такого юзера и нам кормят левый токен - кинули deny.
источник

D

Dmitry in symfony
👤 User
Ой запахло уязвимостью.
а можно подробнее где тут уязвимость вы видите ?
источник

DS

Danila Stivrinsh in symfony
👤 User
Пришел нам значит токен.
Мы его разобрали. Узнали, что да есть юзер для такого токена (привет, БД) - отдали контент
Нет такого юзера и нам кормят левый токен - кинули deny.
Без бд нужно
источник

👤U

👤 User in symfony
Опять же. Чо вы так плагины любите юзать? Не нравится как он работает?
https://symfony.com/doc/current/security/guard_authentication.html
Вот вам гаед как поднять свой гард.
источник

👤U

👤 User in symfony
Я для тестов разные гарды покрутил. Сделал на стабильном API_KEY - добился, чтоб работало.
Выдаю юзерам токены и по ним через Bearer авторизую.
Дальше как угодно расширяйтесь.
источник

DS

Danila Stivrinsh in symfony
Dmitry
jwt изначально задумывался как безопасный способ передачи данных между истоником и получателем за счет подписи токена
вы можете вложить всю инфу о юзере которая вам нужна прямо в jwt и восстанавливать UserIdentity прямо из него
Ну достал я из жвт емейл и роль, но как мне получить полноценную entity если надо ещё 100500 полей
источник

👤U

👤 User in symfony
Тут может иметь место ошибка проектирования Entity.
источник

👤U

👤 User in symfony
Накой у вас в User 100500 полей?
источник

DS

Danila Stivrinsh in symfony
Это абстрактно, пускай 10 полей
источник

👤U

👤 User in symfony
User должен быть тонким. login, pass, token?
источник

D

Dmitry in symfony
Danila Stivrinsh
Ну достал я из жвт емейл и роль, но как мне получить полноценную entity если надо ещё 100500 полей
я вам ответил выше, либо пхать целиком все в jwt либо использовать другие хранилища кроме бд
чем вам не угодила бд я не понимаю, скорость выборки юзера тут будет просто максимальной потому что пойдет по ИД
источник

DS

Danila Stivrinsh in symfony
Dmitry
я вам ответил выше, либо пхать целиком все в jwt либо использовать другие хранилища кроме бд
чем вам не угодила бд я не понимаю, скорость выборки юзера тут будет просто максимальной потому что пойдет по ИД
Я понимаю, просто если я лезу в базу нахера мне тогда жвт ?!
источник