I
и как только в системе появляются деньги - всм стоновится нужен мгновенный логаут на всех устройствах
+1
Size: a a a
2019 December 25
ЕО
Мне кажется, что токены это больше про внутренний периметр чем про взаимодействие с пользователем
I
Мне кажется, что токены это больше про внутренний периметр чем про взаимодействие с пользователем
А какой кейс для использования токенов во внутреннем периметре? У тебя ж и так все сервисы доверенные и по внутренней сетке друг к другу ходят. Зачем еще подписывать их?
C
А какой кейс для использования токенов во внутреннем периметре? У тебя ж и так все сервисы доверенные и по внутренней сетке друг к другу ходят. Зачем еще подписывать их?
они будут по доверенной сети ходить, когда будут ходить в твоем датацентре 😄
S
они будут по доверенной сети ходить, когда будут ходить в твоем датацентре 😄
ну да, а в чужом - никто не сможет тебе в диск залезть и забрать/подделать что надо и так, без всяких токенов.
ЕО
А какой кейс для использования токенов во внутреннем периметре? У тебя ж и так все сервисы доверенные и по внутренней сетке друг к другу ходят. Зачем еще подписывать их?
Чтобы ограничивать доступы разных микросервисов к разным частям апи другого микросервиса
PK
тем не менее - мгновенный логаут на всех устройствах без похода в базу на каждый запрос сделать нельзя
Ну тут можно пренебречь вот этим дельта Т, но например не давать ничего сменить без похода в базу или снять денег. Т.е. ранжировать, что можно с JWT, а что нельзя. Это может иметь некий смысл
PK
Мне кажется, что токены это больше про внутренний периметр чем про взаимодействие с пользователем
Нет
I
они будут по доверенной сети ходить, когда будут ходить в твоем датацентре 😄
оп оп кто расскажет, про свой кластер с базами и докером? у кого все обращения к редису и базе подписываются?)
ВС
А какой кейс для использования токенов во внутреннем периметре? У тебя ж и так все сервисы доверенные и по внутренней сетке друг к другу ходят. Зачем еще подписывать их?
Чтобы идентифицировать сервисы. Огромное количество раз нас такая инфа спасала
C
оп оп кто расскажет, про свой кластер с базами и докером? у кого все обращения к редису и базе подписываются?)
сервер дома под стол ставишь и нормас
S
Чтобы идентифицировать сервисы. Огромное количество раз нас такая инфа спасала
а чем это лучше обычного заголовка в запросе типа
X-Service-ID: batya-200? зачем тут токены?I
Чтобы идентифицировать сервисы. Огромное количество раз нас такая инфа спасала
а зачем тут подписи тогда? просто заставляй всех представляться и пиши все в лог
ВС
Ну как минимум чужим сервисом представиться не получится
I
Чтобы ограничивать доступы разных микросервисов к разным частям апи другого микросервиса
нуу... это очень надуманный кейс. Ни разу не видел такой инфры, где надо было так ограничивать.
ВС
Вот нет, лично пилю сервис, где это активно используется
I
Вот нет, лично пилю сервис, где это активно используется
поделитесь, на чем он запускается? AWS/GKE?
ВС
Собственный k8s
🦉
Вот нет, лично пилю сервис, где это активно используется
Зачем? Вы шо это нормально задеплоить не можете, чтобы за доверие отвечали VPC ?