Д
В таком кейсе да, но я почему то рассматривал вариант когда у нас ресурс сервер идёт напрямую в auth
Size: a a a
2020 March 16
Д
Д
Я сплю уже, простите)
ch
Vadim
да хз, пусть будет пароль )
А зачем вам JWT token если вы хотите гонят пароль при каждом запросе, это уже не JWT это уже тупая передача логина и пароля
ch
Ruslan Stelmachenko
Так и я про пейлод. Зашифрованный пейлоад например может расшифровать ресурс-сервер (а получил его клиент от auth-сервера)
А ресурс сервер и auth не могут общаться друг с другом? Все настолько плохо что надо информацию через JWT гонят?
V
А зачем вам JWT token если вы хотите гонят пароль при каждом запросе, это уже не JWT это уже тупая передача логина и пароля
Я хотел узнать, использует ли кто-нибудь шифрование пейлоад токена и, если да, то в каких случаях. Пароль тут - неудачный пример приватной инфы, которую надо шифровать.
RS
А ресурс сервер и auth не могут общаться друг с другом? Все настолько плохо что надо информацию через JWT гонят?
Ну как бы в этом вся идея JWT. Чтобы ресурс-сервер знал какие-то данные о клиенте, и, что важно, доверял им (не смотря на то, что они пришли с клиента), не контактируя напрямую с auth (здесь "ресурс" и "auth" - условные parties процесса, просто для примера, и как наиболее часто используемый на практике кейс. но по сути это могут быть 2 любых системы).
RK
А ресурс сервер и auth не могут общаться друг с другом? Все настолько плохо что надо информацию через JWT гонят?
JWT для того и придуман, чтобы не дергать авторизацию на каждый пиксель.
MR
ребят как в теле запроса RestTemplete передать json объект
MR
RestTemplate restTemplate = new RestTemplate();
HttpHeaders httpHeaders = new HttpHeaders();
httpHeaders.setContentType(MediaType.APPLICATION_JSON);
HttpEntity<String> entity = new HttpEntity<>(body, httpHeaders);
String str = restTemplate.getForObject("https://reqres.in/api/login", String.class, entity);
⠀
Ruslan Stelmachenko
Ну как бы в этом вся идея JWT. Чтобы ресурс-сервер знал какие-то данные о клиенте, и, что важно, доверял им (не смотря на то, что они пришли с клиента), не контактируя напрямую с auth (здесь "ресурс" и "auth" - условные parties процесса, просто для примера, и как наиболее часто используемый на практике кейс. но по сути это могут быть 2 любых системы).
Что обычно передается в JWT, айди пользователя и его права?
RK
Что обычно передается в JWT, айди пользователя и его права?
Мы передавали набор пермишенов. На базе их ресурс-сервер сам уже принимал решения, что отдавать, а что - нет
⠀
То есть, JWT токен передается в теле запроса, а не в хедере
ch
То есть, JWT токен передается в теле запроса, а не в хедере
в хедере же
ch
в GET вообще нету тела
VK
в GET вообще нету тела
ch
будем соблюдать стандарт
⠀
в GET вообще нету тела
Есть проект где токен в боди передается. Из-за этого в апи все через пост.
М
основные - фильтры, интерсепторы и аспекты
Я создаю контекст через annotationapplicationcontext и передаю в него класс с конфигом. Как мне передать в него файл проперти? (Он должен быть отдельно)
I
что значит должен быть отдельно?