jvmchat | Unsorted

Telegram-канал jvmchat - pro.jvm

5916

Сообщество разработчиков Java Scala Kotlin Groovy Clojure Чат для нач-их: @javastart Наш канал: @proJVM Вакансии: @jvmjobs @jvmjobschat ⚠️ Оффтоп -> @flood ❌Переход на личности ❌Троллинг ❌Реклама ❌HH (вакансии) ❌Варез

Subscribe to a channel

pro.jvm

https://www.baeldung.com/spring-session

Читать полностью…

pro.jvm

Не знаю как ещё объяснить

Читать полностью…

pro.jvm

Хранят, не выкидывают пока не протух

Читать полностью…

pro.jvm

ну чтоб новый получить

Читать полностью…

pro.jvm

это безумие 😁
внутри токена должно быть время жизни, клиент (сервис) получил токен 1 раз, и дальше смотрит на этот ттл, если ок (+допуск там даж есть на лаг) то юзает

зачем его выкидывать каждый раз я прям хз

Читать полностью…

pro.jvm

Ну не дудос, имею ввиду можно не слать лишние запросы

Читать полностью…

pro.jvm

ну что на каждый реквест нужен новый токен

Читать полностью…

pro.jvm

Всмысле такое секурити)

Читать полностью…

pro.jvm

так тоже странно, что за контора у которое ТАКОЕ секурити, но при этом сервис выдачи токенов можно задудосить?

Читать полностью…

pro.jvm

Мы решили кэшировать этот токен, и при повторной отправке запроса из мс1 в мс2 не идти за токеном в сервис выдачи а взять из кэша

Читать полностью…

pro.jvm

У нас был кейс с системным пользователем для общения микросервисов

Читать полностью…

pro.jvm

Ну в плане реального юзера надо думать

Читать полностью…

pro.jvm

это как? чтобы от имени юзера делать какие то реквесты пока он не видит? 😁

Читать полностью…

pro.jvm

Можно токен хранить, чтобы не дудосить сервис выдачи токенов по любому чиху. Например у access токена время жизни 15 минут, можно его в кэше подержать это время и переиспользовать этот токен пока не протух

Читать полностью…

pro.jvm

Но вопрос стоит ли оно того, если у вас в jwt все влезает…

Читать полностью…

pro.jvm

С сессиями, поправочка

Читать полностью…

pro.jvm

Такое и спринг секурити с jwt токенами делает из коробки

Читать полностью…

pro.jvm

Стейтлес же, при новом реквесте идёт за новым, чтобы не идти за новым кэширование используется

Читать полностью…

pro.jvm

В том то и дело, кэширует а не выкидывает

Читать полностью…

pro.jvm

Ну вот у тебя микросервисы общаются между собой, для общения нужен authorization хидер, мс чтобы его заполнить идёт за токеном

Читать полностью…

pro.jvm

При желании spring security oauth2 кэширует токены и это доступно из коробки)

Читать полностью…

pro.jvm

В спринг секурити такое вшито при работе с oauth2)

Читать полностью…

pro.jvm

разве это не по умолчанию логика работы с jwt?

Читать полностью…

pro.jvm

Ну типа токен живёт n минут, зачем при каждом межсервисном взаимодействии обращаться за новым, пока не протух можно переиспользовать

Читать полностью…

pro.jvm

И там при межсервисном взаимодействии каждый раз обращение за токеном в сервис выдачи токенов был

Читать полностью…

pro.jvm

зачем? это в самом токене хранится

Читать полностью…

pro.jvm

Можно хранить в кэше пару - id юзера и токен

Читать полностью…

pro.jvm

Рпсов чуть меньше будет в сервис выдачи токенов

Читать полностью…

pro.jvm

разве не был jwt придуман чтоб его можно было не хранить?😐

Читать полностью…

pro.jvm

Ну у нас там был свой oauth2.0 сервер, самописный. Мы в редис клали токен при авторизации. Ключ и есть сам токен. В редисе все данные о юзере, необходимые микросервисам. Если в редисе нет токена - считаем, что юзер не авторизован и отвечаем 401. Дальше если что он на auth-сервере если что отрефрешится или заново авторизуется и токен появится.

Читать полностью…
Subscribe to a channel