Я очень хочу сейчас понять, 1 есть ли готовые кейсы, 2 как думать над их масштабированием что учесть, как свести вопрос "думать над масштабировантем" к флоу...

Ребят, подскажет кто нибудь?

это не решение твоей проблемы?
https://symfony.com/doc/current/security/voters.html

Народ. Вопрос к размышлению и советам.
Есть бекенд рест апи. Jwt авторизация на нем.
Фронт на жс.
Аутентификация по логину паролю. Все работает.
Нужно подключить oauth2 facebook и других. И тут у меня затык
Текущий аккаунт нужно слинковать с ФБ.
Фронт сам может получить access token и передать его на апи. Апи проверит по нему на ФБ валидность. Получит ид и слинкует его в базе
Но мне не нравится передача access token из жс на апи. Вроде как небезопасно.
Может есть какие-то другие приемы как сделать безопаснее ?

чего не безопасно?

тогда делай так, чтобы фронт не получал аксес токен

а редирект пусть идет на один из твоих эндпоинтов

Если редирект пойдёт мне на апи то как я потом залогиню фронт ? Привязать то привяжу.

Если я правильно улавливаю это про организацию бизнес правил. Тоесть только часть решения) осталось 2 основных вопроса, как авторезировать, я думаю об ABAC и какая должна быть структура выходного токена. Типа где хранить в токене утверждения о юзере

То что я говорю хоть похоже на правду?

набор scopes запрашивает сервис (клиент). ты можешь разграничить, какой scope отдантся клиенту всегда, какой он может опционально запросить. то что ты в scope положишь (claims) , это предоставленно тебе.

да любым уже существующим  способом. fb тебе подтвердил, что это тот юзер. разве что то еще нужно?

Ага. Обезопасить передачу данных между браузером и апи

уверен, что фб id token отправляет через фронт? как правило идет редирект на api с ключом на 1 запрос - по которому api запросит id token

Да. У фб есть фича отправлять токен на фронт. Вернее он отправляет код и стейт. А потом можно получить токен

Это стандарт oauth2

сlientId и clientSecret прописаны в аппе что ли?

с друг стороны, даже если и так, в чем конкретно 'небезопасность'? телефон то не может подделать токен (ты же и на апи его можешь точно так же валидировать)

привет всем))) ребят вопрос))
есть к примеру интефейсы
UserRepository с методом findByEmail,  
AllModelRepository с методом all()
FindModelRepository с методом

есть класс OrmUserRepository который должен содержать реализации методов findByEmail, AllModelRepository, FindModelRepository

как правильно сделать?
1. Интерфейс UserRepository расширить интерфейсами AllModelRepository и FindModelRepository
2. Класс OrmUserRepository имплементироваьть от  UserRepository, AllModelRepository и FindModelRepository

Интересно что там у тебя с типами в AllModelRepository, FindModelRepository.
Int => mixed?