PD
ну да, получается хоть второй вариант и более защищенный, но получается что может не выдержать большой нагрузки...
Он не более защищённый, токен с identity в JWT можно проверять и так.
Size: a a a
2020 December 02
PD
Ну и в локальной сети размер заголовка не очень важен (пока у вас не очень-очень большая нагрузка, но это очевидно не так)
PD
Но вообще clientid прокидывать даже для логов полезно. А можно ещё и requested, по которому можно допданные вытащить из какого-нибудь редиса.
N
clientId в смысле идентификатор самого верхнего вызываемого приложения?
N
интересно, а для прокидывания этих данных в хедере не зарезервирован какой-нибудь ключ? или легче прокидывать два токена, один access а второй просто с данными
PD
clientId в смысле идентификатор самого верхнего вызываемого приложения?
Нет, код пользователя.
PD
интересно, а для прокидывания этих данных в хедере не зарезервирован какой-нибудь ключ? или легче прокидывать два токена, один access а второй просто с данными
Да все можно в JWT )
VA
И любимые GET-запросы с двухкилобайтным JWT)))
N
я надеялся что есть у IdentityServer4 какие то встроенные механизмы пробрасывания таких данных))
N
хотя очень похоже, что можно создать собственный grand_type который бы позволил добавлять дополнительные данные в один токен
VA
ну это и есть фактически token exchange, только не по стандарту, а на костылях
PD
я надеялся что есть у IdentityServer4 какие то встроенные механизмы пробрасывания таких данных))
А при чем тут identity? И в чем беда от 2Kb JWT во внутренней сети?
VA
хотя очень похоже, что можно создать собственный grand_type который бы позволил добавлять дополнительные данные в один токен
грант_тайп и добавление в токен доп данных не связаны
VA
А при чем тут identity? И в чем беда от 2Kb JWT во внутренней сети?
"неаккуратненько как-то" (c)
PD
ну это и есть фактически token exchange, только не по стандарту, а на костылях
А где ссылку на token exchange посмотреть? Мы для других целей реализовывали, но свое
VA
А где ссылку на token exchange посмотреть? Мы для других целей реализовывали, но свое
VA
внезапно уже стандарт) а я всё в драфт смотрю
PD
А для глупых есть сокращённое описание со сценариями?
N
это получается прям стандарт для OAuth2.0