PK
да, это понятно, просто какую проблему это решает?
Когда у тебя много запросов на права пользователя. Ты один раз выдал токен и закэшировал права. Да это можно сделать добавив больше кэша в другом слое. Просто интересно.
Size: a a a
2020 April 09
AD
наверное аутентификацию
там про роли же, поэтому авторизация
В
Задача была сделать авторизацию на JWT 🙂
@davydovanton вроде как тут шла речь про sign in
DS
да нет, вроде, именно, авторизация написано
AD
я так понял тут вопрос был про роль в токене, что больше про авторизацию
AD
А кто-нибудь пробовал делать авторизацию через JWT? Ну там прямо в токене хранить права пользователя для уменьшения запросов к базе.
вот
В
насколько я понял человек делал аутентификацию через jwt
и попутал авторизацию и аутентификацию и поэтому ответил на вопрос
хотя вполне возможно что я ошибся @pny_pny?
и попутал авторизацию и аутентификацию и поэтому ответил на вопрос
хотя вполне возможно что я ошибся @pny_pny?
PK
насколько я понял человек делал аутентификацию через jwt
и попутал авторизацию и аутентификацию и поэтому ответил на вопрос
хотя вполне возможно что я ошибся @pny_pny?
и попутал авторизацию и аутентификацию и поэтому ответил на вопрос
хотя вполне возможно что я ошибся @pny_pny?
Ты ошибься. Я имел ввиду зашивать в токен информацию для упрощения авторизации. То есть в токене указаны права пользователя. Ты получил токен, распарсил и сразу знаешь кто у тебя current_user и что он может делать.
PK
PK
Я просто сам привык что токены для авторизации не используются, а почитал спеку и увидел что теоритически так можно и соответственно стало интересно кто-нибудь решался на такое.
В
Ты ошибься. Я имел ввиду зашивать в токен информацию для упрощения авторизации. То есть в токене указаны права пользователя. Ты получил токен, распарсил и сразу знаешь кто у тебя current_user и что он может делать.
я понял вопрос)
человек который ответил на вопрос - что мол делал авторизацию насколько я понял делал аутентификацию
человек который ответил на вопрос - что мол делал авторизацию насколько я понял делал аутентификацию
DP
звучит как какой-то оверхед
Имеет смысл, если микросервис userservice перегружен запросами, или сеть до него не быстрая. Но при этом нельзя быстро разлогинить все сессии пользователя.
В
необходимо дождаться ответа от @pny_pny что бы все выяснить))
DS
Имеет смысл, если микросервис userservice перегружен запросами, или сеть до него не быстрая. Но при этом нельзя быстро разлогинить все сессии пользователя.
почему бы и нет, нужно только оценить риски перехвата токена или утечки приватного ключа
AD
тут другая проблема, с секюрити все еще терпимо. как жить ,если ты зашиваешь роль в токен, а потом эту роль менять решил. т.е. надо подумать как токен обновлять или экспайрить грамотно
DS
тут другая проблема, с секюрити все еще терпимо. как жить ,если ты зашиваешь роль в токен, а потом эту роль менять решил. т.е. надо подумать как токен обновлять или экспайрить грамотно
кажется, можно просто сделать токен невалидным и запросить обновление
DP
нну, ты просишь, тебе выдали новый токнн, и у тебя временно две роли — старая и новая, хехехе
AG
это все давно описано - токены всегда делаются короткоживущими
AD
это тоже не решает пробелму, иногда критично для UI отображать реальные данные после изменений от пользователя
PK
тут другая проблема, с секюрити все еще терпимо. как жить ,если ты зашиваешь роль в токен, а потом эту роль менять решил. т.е. надо подумать как токен обновлять или экспайрить грамотно
Отличный вопрос, посоны говорят надо иметь что-то вроде таблицы для блеклистинга, но а почему не зашить в токен еще и короткое время жизни?)