Телеграмм чат группы modernperl страница 9165

Как только мы ответили на все эти вопросы - скорее всего мы переизобрели JWT.

12:57пожаловаться #1

Sergey Zhmylove in Modern::Perl

Контекст: Подскажите пожалуйста, как лучше всего реализовывать сессии (без использования фреймворков), у меня сейчас это рукописный функционал, но наверное это не по фен-шую.

Ему предложили сессии.
Потом предложили токены.
Потом началось обсуждение, что токен нельзя инвалидировать мгновенно.

13:10пожаловаться #2

без использования фреймворков) - [...] это рукописный функционал

Отлично реализовано, если работает - всё по феншую.

13:12пожаловаться #3

Ivan Bessarabov in Modern::Perl

Недостаточно данных чтобы сказать что там все хорошо. Может быть, сайт вообще по http работает.

13:16пожаловаться #4

как блин входным данным? логину-паролю из формы? что значит доверяет? не надо им доверять их надо проверить. ну через сервис авторизации например, общий для всех. или напрямую в базе.

13:16пожаловаться #5

как будто это обязательно что-то плохое

13:17пожаловаться #6

Ivan Bessarabov in Modern::Perl

Да — это плохое

13:17пожаловаться #7

Может, но вопрос про феншуй, а не про "я сомневаюсь в безопасности своей реализации".

13:17пожаловаться #8

Проверили, что дальше? Что клиент передаёт в сервисы после авторизации? Проверили - где? На одном из сервисов? Может это сервис авторизации? Что он отдал клиенту и с чем клиент ходит в другие сервисы? Почему другие сервисы должны верить, что клиент действительно авторизован?

13:19пожаловаться #9

когда браузер перестают заходить на каптив портал потому что из его ssl выкинули шифры -- начинаешь думать что https будет похуже и поопасней http

13:20пожаловаться #10

Ivan Bessarabov in Modern::Perl

Это ошибочное мнение

13:21пожаловаться #11

с чем пришел то и передает. названия городов если билеты найти хочет, например? не понимаю вопроса.

13:22пожаловаться #12

Клиент: Сервис А, авторизуй меня, вот мой логин и пароль.
Сервис А: всё ок, можешь идти в сервис два за билетами. 
Клиент: Сервис 2, дай билетов.
Сервис 2: А ты кто вообще?

По каким входным данным запроса Сервис 2 знает, что это какой-то конкретный юзер и что он действительно авторизован?

13:25пожаловаться #13

И, если уж на то пошло, JWT вообще не обязан присутствовать в запросе и быть на клиенте, зависит от Auth Flow. За токеном, например, может сходить бекенд сервиса с кодом, выданным авторизационным сервисом, проверить, что ему нужно и проставить уже хоть в те же куки свои личные параметры, подтверждающие авторизацию. Токен при этом на клиенте вообще не бывал, он присутствовал только в обмене между сервисами.

13:35пожаловаться #14

Denis F in Modern::Perl

По jwt токену который подписан ключем сервиса авторизации

13:36пожаловаться #15

Да погоди, мы тут отрицаем JWT

13:36пожаловаться #16