jvmchat | Unsorted

Telegram-канал jvmchat - pro.jvm

5916

Сообщество разработчиков Java Scala Kotlin Groovy Clojure Чат для нач-их: @javastart Наш канал: @proJVM Вакансии: @jvmjobs @jvmjobschat ⚠️ Оффтоп -> @flood ❌Переход на личности ❌Троллинг ❌Реклама ❌HH (вакансии) ❌Варез

Subscribe to a channel

pro.jvm

Ну не дудос, имею ввиду можно не слать лишние запросы

Читать полностью…

pro.jvm

ну что на каждый реквест нужен новый токен

Читать полностью…

pro.jvm

Всмысле такое секурити)

Читать полностью…

pro.jvm

так тоже странно, что за контора у которое ТАКОЕ секурити, но при этом сервис выдачи токенов можно задудосить?

Читать полностью…

pro.jvm

Мы решили кэшировать этот токен, и при повторной отправке запроса из мс1 в мс2 не идти за токеном в сервис выдачи а взять из кэша

Читать полностью…

pro.jvm

У нас был кейс с системным пользователем для общения микросервисов

Читать полностью…

pro.jvm

Ну в плане реального юзера надо думать

Читать полностью…

pro.jvm

это как? чтобы от имени юзера делать какие то реквесты пока он не видит? 😁

Читать полностью…

pro.jvm

Можно токен хранить, чтобы не дудосить сервис выдачи токенов по любому чиху. Например у access токена время жизни 15 минут, можно его в кэше подержать это время и переиспользовать этот токен пока не протух

Читать полностью…

pro.jvm

Но вопрос стоит ли оно того, если у вас в jwt все влезает…

Читать полностью…

pro.jvm

а что на счёт обновления токена? и по какому ключу искать этот jwt?

Читать полностью…

pro.jvm

Всем привет. Подскажите как защитить сокеты? Я передаю jwt по заголовку (использую stomp) и там уже достаю его и проверяю самостоятельно. Может кто знает попроще что-нибудь, а то хотелось бы покрасивее как-то. В качестве единой системы входа использую keycloak

Читать полностью…

pro.jvm

>Знакомство где-то в одном из московских ресторанов
>А ты чем занимаешься?
>Я генерал DDL

Читать полностью…

pro.jvm

Я. По готовой бд ddl генерал. Считается? )))

Читать полностью…

pro.jvm

старый подход без спринг бута

Читать полностью…

pro.jvm

При желании spring security oauth2 кэширует токены и это доступно из коробки)

Читать полностью…

pro.jvm

В спринг секурити такое вшито при работе с oauth2)

Читать полностью…

pro.jvm

разве это не по умолчанию логика работы с jwt?

Читать полностью…

pro.jvm

Ну типа токен живёт n минут, зачем при каждом межсервисном взаимодействии обращаться за новым, пока не протух можно переиспользовать

Читать полностью…

pro.jvm

И там при межсервисном взаимодействии каждый раз обращение за токеном в сервис выдачи токенов был

Читать полностью…

pro.jvm

зачем? это в самом токене хранится

Читать полностью…

pro.jvm

Можно хранить в кэше пару - id юзера и токен

Читать полностью…

pro.jvm

Рпсов чуть меньше будет в сервис выдачи токенов

Читать полностью…

pro.jvm

разве не был jwt придуман чтоб его можно было не хранить?😐

Читать полностью…

pro.jvm

Ну у нас там был свой oauth2.0 сервер, самописный. Мы в редис клали токен при авторизации. Ключ и есть сам токен. В редисе все данные о юзере, необходимые микросервисам. Если в редисе нет токена - считаем, что юзер не авторизован и отвечаем 401. Дальше если что он на auth-сервере если что отрефрешится или заново авторизуется и токен появится.

Читать полностью…

pro.jvm

Ну в redis например можно искать токен, если его кто-то туда заранее положил... Но по сути те же яйца, только сбоку, не могу сказать что это проще. Мы так делали, но только потому что у нас токен разросся и в целом принято было решение не все в JWT пихать.

Читать полностью…

pro.jvm

Тут же ясно написано - эту, встроенную.

Читать полностью…

pro.jvm

Так все же бд имеют эту функцию встроенную?

Читать полностью…

pro.jvm

ах да, я совсем забыл - такое не срабоатет с джойнами и алиасами

Читать полностью…

pro.jvm

а это тогда не нужно будет

Читать полностью…
Subscribe to a channel