Size: a a a

Spring Framework and more

2019 July 23

КМ

Кирилл Матросов in Spring Framework and more
Николай Герасимов
если сейчас говорим про oAuth, то там от гугла на бэк придет ответ с кодом, по которому можно получить данные о пользователе (фио, емейл и т.д.) и уже потом проверять есть ли пользователь в бд и т.д.
да, так и надо, но не пойму, куда проверку вставить
были попытки через PrincipalExtractor и провайдер
источник

НГ

Николай Герасимов in Spring Framework and more
Кирилл Матросов
так и есть
данный кусок редиректит на гугл вход, который успешно авторизует человека.
тут нет редиректа, сперва разберись как работает этот код
источник

НГ

Николай Герасимов in Spring Framework and more
Кирилл Матросов
да, так и надо, но не пойму, куда проверку вставить
были попытки через PrincipalExtractor и провайдер
ты похоже не понимаешь, как работает oAuth. Разберись в нем, сразу станет ясно когда проверку производить
источник

КМ

Кирилл Матросов in Spring Framework and more
Николай Герасимов
тут нет редиректа, сперва разберись как работает этот код
редирект прописан в application yaml
источник

КМ

Кирилл Матросов in Spring Framework and more
Николай Герасимов
ты похоже не понимаешь, как работает oAuth. Разберись в нем, сразу станет ясно когда проверку производить
когда получена данные от гугл), но в тот момент spring уже считает меня авторизованным, хотя проверки по бд еще не было
источник

S🕶

Sander 🕶 in Spring Framework and more
так как никто так и не ответил, кто как блокирует пользователей если он привысил кол-во запросов на авторизацию,
в документации спринга к сожалению всего не написано.
источник

S🕶

Sander 🕶 in Spring Framework and more
все что мне в голову приходит, это создать еще один фильтр BlockedFilter и в провайдере проверять,
что код является 401, если так оно и есть то прерываем и выкидываем свою ошибку.
источник

S🕶

Sander 🕶 in Spring Framework and more
выглядит это примерно так
источник

S🕶

Sander 🕶 in Spring Framework and more
источник

S🕶

Sander 🕶 in Spring Framework and more
может кто что получше посоветует, у кого побольше в этом опыта
источник

S🕶

Sander 🕶 in Spring Framework and more
🤷‍♂️
источник
2019 July 24

AA

Alexey Astashenko in Spring Framework and more
Sander 🕶
так как никто так и не ответил, кто как блокирует пользователей если он привысил кол-во запросов на авторизацию,
в документации спринга к сожалению всего не написано.
источник

S🕶

Sander 🕶 in Spring Framework and more
уже вчера скидывали и я эту ссылку в самом начале скидывал
источник

S🕶

Sander 🕶 in Spring Framework and more
там нет всей информации
источник

S🕶

Sander 🕶 in Spring Framework and more
кусок вырезан, остальное надо как-то самому думать дописывать
источник

AA

Alexey Astashenko in Spring Framework and more
Sander 🕶
кусок вырезан, остальное надо как-то самому думать дописывать
какой именно кусок?
источник

S🕶

Sander 🕶 in Spring Framework and more
@Leffchik69 если что-то такое делал раньше, то было бы кстати посмотреть ...
- по этой документации, что там написано это пример для обычных форм, а не rest-api, listener на failed не срабатывает
- /login как-то тоже надо защитить, я даже когда blocked, после 10 попыток авторизироваться, он все равно позволяет получить токен,
но другие api-endpoints работать не будут, только login и какие варианты есть его защитить?
- если человек заблокирован по ip, то правильно ли эту операцию делать раньше всех на уровне servlets, даже раньше чем проверка пользователя на авторизацию (потому чтоб выдать доступ к данным, надо проверить пользователя), с jwt я думаю все проще, в случаи с jwt можно и первым поставить, хотя ему каждый раз придется хеш/токен считать/сверять, не знаю на сколько это быстро.
  * сейчас у меня идет два фильтра: user authentication, blocked, в каком порядке их лучше делать на уровне сервлетов.
----
может от себя еще посоветуешь что-нибудь, что еще почитать, я по документации спринга хожу и пробую разные варианты,
с каждым разом конечно все лучше и лучше и больше понимания.
источник

AA

Alexey Astashenko in Spring Framework and more
А на логин какой-то кастомный фильтр написан, который jwt токен выдаёт?
источник

S🕶

Sander 🕶 in Spring Framework and more
jwt еще нет, это след. что я буду пытаться сделать, пока что я по простому сделал - просто в бд сохраняю и пользователя чекаю,
но по ощущению что с jwt будет все куда проще, просто сделано пока что способом как я умею, чтоб spring security пощумать как он вообще работает.
источник

S🕶

Sander 🕶 in Spring Framework and more
там есть немного кастомного, но все через адаптеры
источник