pro.jvm

24 Dec 2024 23:03

Можно токен хранить, чтобы не дудосить сервис выдачи токенов по любому чиху. Например у access токена время жизни 15 минут, можно его в кэше подержать это время и переиспользовать этот токен пока не протух

pro.jvm

24 Dec 2024 21:34

Но вопрос стоит ли оно того, если у вас в jwt все влезает…

pro.jvm

24 Dec 2024 21:29

а что на счёт обновления токена? и по какому ключу искать этот jwt?

pro.jvm

24 Dec 2024 21:16

Всем привет. Подскажите как защитить сокеты? Я передаю jwt по заголовку (использую stomp) и там уже достаю его и проверяю самостоятельно. Может кто знает попроще что-нибудь, а то хотелось бы покрасивее как-то. В качестве единой системы входа использую keycloak

pro.jvm

24 Dec 2024 18:20

>Знакомство где-то в одном из московских ресторанов
>А ты чем занимаешься?
>Я генерал DDL

pro.jvm

24 Dec 2024 17:31

Я. По готовой бд ddl генерал. Считается? )))

pro.jvm

24 Dec 2024 10:45

старый подход без спринг бута

pro.jvm

24 Dec 2024 10:45

тогда и @WithMockUser заработает

pro.jvm

24 Dec 2024 10:44

В принципе нет, надо попробовать

pro.jvm

24 Dec 2024 10:42

там все необходимые инициалиазции уже есть

pro.jvm

24 Dec 2024 10:41

ты юзаешь standalone builder, чтобы поднять контекст твоего контроллера

и похоже в этом контексте отсутсвует секьюрити контекст

pro.jvm

24 Dec 2024 10:33

Я конкретно только про Jwt говорил, как у тебя в примере.

Что касается тестового секьюрити контекста, лично я использовал @WithMockUser, либо для блэкбокс тестов свою фэктори для генерации тестовых JWT

pro.jvm

24 Dec 2024 10:31

Ну и это не расширение UserDetails важно отметить

pro.jvm

24 Dec 2024 10:29

Привет, возникло небольшое непонимание. Подскажите пожалуйста в реактивном программировании используется Netty и EventLoop с 1-2 потоками, а основная обработка бизнес логики идет на другом пуле потоков.

А в gRPC такая же модель или нет?

pro.jvm

24 Dec 2024 10:12

На мини-играх спалился

pro.jvm

24 Dec 2024 22:44

разве не был jwt придуман чтоб его можно было не хранить?😐

pro.jvm

24 Dec 2024 21:34

Ну у нас там был свой oauth2.0 сервер, самописный. Мы в редис клали токен при авторизации. Ключ и есть сам токен. В редисе все данные о юзере, необходимые микросервисам. Если в редисе нет токена - считаем, что юзер не авторизован и отвечаем 401. Дальше если что он на auth-сервере если что отрефрешится или заново авторизуется и токен появится.

pro.jvm

24 Dec 2024 21:26

Ну в redis например можно искать токен, если его кто-то туда заранее положил... Но по сути те же яйца, только сбоку, не могу сказать что это проще. Мы так делали, но только потому что у нас токен разросся и в целом принято было решение не все в JWT пихать.

pro.jvm

24 Dec 2024 18:21

Тут же ясно написано - эту, встроенную.

pro.jvm

24 Dec 2024 17:55

Так все же бд имеют эту функцию встроенную?

pro.jvm

24 Dec 2024 15:02

ах да, я совсем забыл - такое не срабоатет с джойнами и алиасами

pro.jvm

24 Dec 2024 10:45

а это тогда не нужно будет

pro.jvm

24 Dec 2024 10:44

@WebMvcTest(controllers = MyController.class)

pro.jvm

24 Dec 2024 10:44

https://docs.spring.io/spring-security/reference/servlet/test/mockmvc/setup.html

pro.jvm

24 Dec 2024 10:41

есть ли причина не юзать классический @WebMvcTest ?

pro.jvm

24 Dec 2024 10:34

Всем привет, есть ли тут те кто занимается или занимался реверс инжинирингом?

pro.jvm

24 Dec 2024 10:33

Насколько помню, UserDetails создаётся только в случае с formLogin и basic, потому что информация о пользователях хранится на стороне нашего сервера, а не сервера авторизации

pro.jvm

24 Dec 2024 10:29

Ты отправляешь мне ссылку на документацию, где ясно написано: many of authentication providers will create a UserDetails object as the principal, но many of, не значит все. Если ты посмотришь на то, что делают за тебя разные провайдеры аутентификации (например OAuth2LoginAuthenticationProvider и JwtAuthenticationProvider, разные провайдеры, но оба, как ни странно, работают с JWT) то узнаешь, что они создают разные токены (OAuth2AuthentciationToken и JwtAuthenticationToken соответственно). Каждый токен объект Authentication, но возвращает разные объекты при вызове метода getPrincipal (OidcUser и Jwt) и это не расширение интерфейса Principal. Общий интерфейс для них в приведённом случае ClaimAccessor. Именно поэтому в контракте метода и указан Object. Добавляя аннотацию AuthenticationPrincipal, Spring вероятно просто вызывает метод getPrincipal() у объекта аутентификации лежащего в SecurityContext и кастит ее к классу того параметра, который отмечен аннотацией. В моём случае, если указать UserDetails, будет вероятно просто ClassCastException. Ну и к слову сказать, разумеется я пробовал подставлять аннотацию AuthenticationPrincipal и очевидно это не работало. Проблема возникает именно в тестах, потому что при запуске всего контекста приложения все работает штатно и никаких ошибок нет. Поэтому я и пытаюсь узнать, какой компонент отвечает за инжект аутентификации внутрь метода контроллера

pro.jvm

24 Dec 2024 10:16

Authentication и Principal равны для Jwt сценария

pro.jvm

24 Dec 2024 10:03

ну почему сразу скамер-то ?