VS
Rus
как их там связать
multiprocfile есть билдпак для хероку
Size: a a a
2021 January 12
VS
я делал такое. тебе надо будет 2 приклада заводить, иначе никак
R
я делал такое. тебе надо будет 2 приклада заводить, иначе никак
это сложно?
VS
не, просто неочевидно
VS
как и весь хероку, если тебе нужен какой то кастом)
R
спс
AE
А почему именно хероку? Я бы опеншифт помучал
VS
А почему именно хероку? Я бы опеншифт помучал
фига ты из пушки по воробьям)
VS
шифт ваще нифига не тривиальный
AE
фига ты из пушки по воробьям)
Там маленькие фри еды есть постоянные
VS
да я верю, просто шифт и андерлаинг кубернетес ваще нифига не тривиальны для новичка. особенно учитывая специфические костыли редхата поверх кубера (деплоймент конфиги, имаг стримы, добрый вечер)
АВ
да и железо норм нужно даже для лайт версии с одной нодой
C
terry brosseau, код неверный, обратись к админу.
b
фига ты из пушки по воробьям)
EI
у меня есть в дб штуки которые принадлежат конкретным пользователям.
например get /api/cookie/13 куки 13го юзра, теоретически юзер может подменить 13 на 14, и достать чужие куки из бд,
если правильно понимаю, чтоб такого не было, я должен везде, где такое возможно в контроллерах проверять на соответсвие юзерИД и токена и если отличаются отдавать что-то типо форбидден?
например get /api/cookie/13 куки 13го юзра, теоретически юзер может подменить 13 на 14, и достать чужие куки из бд,
если правильно понимаю, чтоб такого не было, я должен везде, где такое возможно в контроллерах проверять на соответсвие юзерИД и токена и если отличаются отдавать что-то типо форбидден?
AT
у меня есть в дб штуки которые принадлежат конкретным пользователям.
например get /api/cookie/13 куки 13го юзра, теоретически юзер может подменить 13 на 14, и достать чужие куки из бд,
если правильно понимаю, чтоб такого не было, я должен везде, где такое возможно в контроллерах проверять на соответсвие юзерИД и токена и если отличаются отдавать что-то типо форбидден?
например get /api/cookie/13 куки 13го юзра, теоретически юзер может подменить 13 на 14, и достать чужие куки из бд,
если правильно понимаю, чтоб такого не было, я должен везде, где такое возможно в контроллерах проверять на соответсвие юзерИД и токена и если отличаются отдавать что-то типо форбидден?
по идее авторизация в апи строится в 2 этапа.
1. сама авторизация, когда пользователь передает личные логин/пароль/ключ и т.д. На этом этапе ему генерится токен.
2. выполнение любых дальнейших запросов требует от пользователя передачи сгенерированого на этапе 1 токена. По нему собственно и идентифицируется что это за пользователь и какие он имеет права
1. сама авторизация, когда пользователь передает личные логин/пароль/ключ и т.д. На этом этапе ему генерится токен.
2. выполнение любых дальнейших запросов требует от пользователя передачи сгенерированого на этапе 1 токена. По нему собственно и идентифицируется что это за пользователь и какие он имеет права
EI
да, это понимаю.
у меня в дб объекты, с именем юзера кто их создал. Сами объекты достаются из бд по их ид, которых приходит по ресту. То есть юзер может и чужой объект достать главное ид подставить... вопрос в том, нужно ли постоянно проверять соответсвие того, кто запрашивает с тем ,что он запрашивает? то есть проверять, что чувак с токеном
у меня в дб объекты, с именем юзера кто их создал. Сами объекты достаются из бд по их ид, которых приходит по ресту. То есть юзер может и чужой объект достать главное ид подставить... вопрос в том, нужно ли постоянно проверять соответсвие того, кто запрашивает с тем ,что он запрашивает? то есть проверять, что чувак с токеном
ххх и ид 10 запрашивает объекты, создателем которых был чувак с ид 10, то есть он сам, а не чьи-то другие объекты...AT
ну ты сначала получаешь по токену из бд id юзера, а потом уже везде этот id передаешь при выборке
AT
конечно нужно проверять. иначе, как ты и сам догадался, будет не особо секьюрно
EI
спасибо🙂