AM
Сегодня вечер сгоревших стульев
Стандартная схема, исход всегда один)
Size: a a a
2020 February 27
ИК
В чём фишка, его ж запилить такой геморрой
в чем геморрой?
GS
Это осознанно пойти на это бдсм с рефреш токенами, без крайней необходимости
Чтобы в СОА можно было сервисам, которые не gateway, работать с авторизацией в stateless и легко масштабироваться
GS
в чем геморрой?
Поддержка бана, выбор алгоритма подписи и времени жизни токенов, подтягивание либ и в целом процесс чуть сложнее, потому что есть два процесса (из-за двух токенов)
ИК
Поддержка бана, выбор алгоритма подписи и времени жизни токенов, подтягивание либ и в целом процесс чуть сложнее, потому что есть два процесса (из-за двух токенов)
а какие альтернативы ты предлагаешь?
я серьезно сейчас =) ни в коем случае не стебусь
я серьезно сейчас =) ни в коем случае не стебусь
AM
в чем геморрой?
Слишком уж много чего надо делать. От поддержки самого токена, до костылей безопасности
AM
Чтобы в СОА можно было сервисам, которые не gateway, работать с авторизацией в stateless и легко масштабироваться
JWT насколько помню яндекс использует, в связи со стадионом сервисов, с которыми надо общатся. Обычному разрабу это нафиг не надо
GS
а какие альтернативы ты предлагаешь?
я серьезно сейчас =) ни в коем случае не стебусь
я серьезно сейчас =) ни в коем случае не стебусь
А я не говорю, что не надо его использовать)
Надо только оценивать задачу, и плюсы-минусы каждого решения) Если плюсы перевешивают - отлично, если нет - то выбор был неправильный
Надо только оценивать задачу, и плюсы-минусы каждого решения) Если плюсы перевешивают - отлично, если нет - то выбор был неправильный
AM
а какие альтернативы ты предлагаешь?
я серьезно сейчас =) ни в коем случае не стебусь
я серьезно сейчас =) ни в коем случае не стебусь
Сессии
ИК
Слишком уж много чего надо делать. От поддержки самого токена, до костылей безопасности
ну вот я и говорю, что много всего есть, но этот вариант тоже имеет право на жизнь, мне он кажется наиболее легковесным
GS
JWT насколько помню яндекс использует, в связи со стадионом сервисов, с которыми надо общатся. Обычному разрабу это нафиг не надо
С модой на микросервисы уже и в небольших проектах актуально бывает
AM
Вынести микросервис с session auth, вполне реализуемо
ИК
Сессии
ок, а сессии в SPA это нормальное решение ?
AM
полюбому будет такой
GS
ок, а сессии в SPA это нормальное решение ?
А при чём тут SPA?
AM
ок, а сессии в SPA это нормальное решение ?
Почему нет
GS
Пофиг вообще, что будет клиентом
ИК
А при чём тут SPA?
ну вот у меня микросервисы и спа
AM
Вынеси аутентификацию в отдельный микросервис
GS
ну вот у меня микросервисы и спа
Да хоть тамогочи клиентом будет, выбор в пользу JWT делается из сетевой архитектуры бека