SZ
Вопрос в другом и ответ на него очевиден. Хочешь надёжности и избавиться от общей базы: не получится.
Size: a a a
2021 August 12
c
что такое "сессия" в этой конфигурации?
VO
ну напримех 64-х или 128-битное число в base64 которое является индексом в таблице сессий
SZ
Да что угодно: рандомный id с ttl на уровне базы
c
А, то есть в данном случае мы вместо подписи токена генерим, к примеру UUID и считаем, что если запрос пришёл с ним, то это достаточно надёжно. Ну можно да.
c
Хз чем не понравились подписи, но ок.
c
Если под общей базой подразумевается сервис авторизации со своей базой, то да.
VO
а зачем лишняя сущность если один хуй потом в базу смотреть?
VO
uuid подписали что бы что? если его спиздили то и сподписью спиздили
SZ
Подразумевается что угодно, к чему потребуется обращаться из вебсервера для проверки валидности запроса
c
А, то есть мы пришли к тому, что для того, чтобы иметь сквозную авторизацию, нужно что-то, что будет её обеспечивать. Звучит логично. Никаких возражений.
c
UUID есть на клиенте, токена на клиенте нет, если это не implicit flow, который емнип задепрекейтили.
SZ
Тааак, подожди. А что тогда есть на клиенте? И где токен?
c
Authentication using the Authorization Code Flowвыполняется бекендом
This section describes how to perform authentication using the Authorization Code Flow. When using the Authorization Code Flow, all tokens are returned from the Token Endpoint.
The Authorization Code Flow returns an Authorization Code to the Client, which can then exchange it for an ID Token and an Access Token directly. This provides the benefit of not exposing any tokens to the User Agent and possibly other malicious applications with access to the User Agent. The Authorization Server can also authenticate the Client before exchanging the Authorization Code for an Access Token. The Authorization Code flow is suitable for Clients that can securely maintain a Client Secret between themselves and the Authorization Server.
exchanging the Authorization Code for an Access Token
SZ
Я не понял :с
SZ
Разве есть какая-то разница, что именно спиздят: auth token либо auth code
SZ
Либо access token
SZ
Результат один: можно будет прикинуться этим клиентом
c
auth code живёт десяток секунд