так тоже странно, что за контора у которое ТАКОЕ секурити, но при этом сервис выдачи токенов можно задудосить?
Читать полностью…Мы решили кэшировать этот токен, и при повторной отправке запроса из мс1 в мс2 не идти за токеном в сервис выдачи а взять из кэша
Читать полностью…Можно токен хранить, чтобы не дудосить сервис выдачи токенов по любому чиху. Например у access токена время жизни 15 минут, можно его в кэше подержать это время и переиспользовать этот токен пока не протух
Читать полностью…Всем привет. Подскажите как защитить сокеты? Я передаю jwt по заголовку (использую stomp) и там уже достаю его и проверяю самостоятельно. Может кто знает попроще что-нибудь, а то хотелось бы покрасивее как-то. В качестве единой системы входа использую keycloak
Читать полностью…>Знакомство где-то в одном из московских ресторанов
>А ты чем занимаешься?
>Я генерал DDL
Ну типа токен живёт n минут, зачем при каждом межсервисном взаимодействии обращаться за новым, пока не протух можно переиспользовать
Читать полностью…И там при межсервисном взаимодействии каждый раз обращение за токеном в сервис выдачи токенов был
Читать полностью…Ну у нас там был свой oauth2.0 сервер, самописный. Мы в редис клали токен при авторизации. Ключ и есть сам токен. В редисе все данные о юзере, необходимые микросервисам. Если в редисе нет токена - считаем, что юзер не авторизован и отвечаем 401. Дальше если что он на auth-сервере если что отрефрешится или заново авторизуется и токен появится.
Читать полностью…Ну в redis например можно искать токен, если его кто-то туда заранее положил... Но по сути те же яйца, только сбоку, не могу сказать что это проще. Мы так делали, но только потому что у нас токен разросся и в целом принято было решение не все в JWT пихать.
Читать полностью…