Aktywne Wpisy
Moseva +212
Szkoda mi chłopaków z Krakowa.
Kierowca zachowywał się głupio na trasie, przykro mi ze nikt ho wystarczająco nie wyedukowal o „bezpiecznej” szybkiej jeździe. Może był uzależniony od adrenaliny. Szkoda ze nikt w porę nim nie potrząsnął, nie zabrał prawka. Biedni są ci trzej pasażerowie, którzy zginęli razem z nim i ich rodziny, które cierpią.
Szkoda mi załogi Titana.
Byli odkrywcami, wizjonerami, może chora i niepotrzebna fantazja, ale nikt z nich nie zasługiwał
Kierowca zachowywał się głupio na trasie, przykro mi ze nikt ho wystarczająco nie wyedukowal o „bezpiecznej” szybkiej jeździe. Może był uzależniony od adrenaliny. Szkoda ze nikt w porę nim nie potrząsnął, nie zabrał prawka. Biedni są ci trzej pasażerowie, którzy zginęli razem z nim i ich rodziny, które cierpią.
Szkoda mi załogi Titana.
Byli odkrywcami, wizjonerami, może chora i niepotrzebna fantazja, ale nikt z nich nie zasługiwał
keppo +54
Aktywne Znaleziska
Jak powinno wyglądać uwierzytelnianie i autoryzacja w kontekście mkroserisów?
Mam aplikację składającą się z kilku różnych serwisów. Do tego oczywiście warstwa prezentacyjna.
Macie jakieś przykłady jak np. powinien wyglądać cały flow w takiej architekturze?
Może ktoś z własnego doświadczenia podrzuci jakąś informację :)
#programowanie #mikroserwisy #csharp
Aktualnie właśnie mam swój serwis odpowiedzialny za wydawanie tokenów.
Serwis ten udostępnia publicznie politykę dotyczącą walidacji JWT, tj. typ klucza, algorytm, oraz klucz publiczny -> korzystam z RSA. Wszystko jest zrobione automatycznie przy wykorzystaniu biblioteki JWT Bearer od Microsoftu.
Trochę trudno wytłumaczyć o
@pepepanpatryk: dlatego nie powinieneś robić żadnych przekierowań. To aplikacja frontowa jest odpowiedzialna za uzyskanie jwt i dostarczenie go z requestem do API.
Jak nie ma tokena lub jest nieważny to przecież aplikacja frontowa o tym wie i może sama to obsłużyć.
Jeśli obsługujesz np unieważnienie tokena na serwerze autoryzacyjnym, czyli
Jak wygląda w takim razie wykorzystanie wersji authorization code, lub hybrid? Do jakich zastosowań one pasują?
Tak czy inaczej te wszystkie flow'y dotyczą jedynie komunikacji pomiędzy aplikacją w której robisz autentykację, czyli client (u Ciebie appka frontowa), a serwerem autoryzacyjnym (serwis OAuth na przykład).
To w ogóle nie ma związku z usługami, które wymagają tokena. To jest jakby obok, po prostu token ma być dostarczony w
Rozumiem. Niemniej jednak trochę mi ta wersja nie leży a to np. dlatego:
"Attention! This type of authorization should only be used if no other type of authorization is available. Indeed, it is the least secure because the access token is exposed (and therefore vulnerable) on the client side."
Czy w przypadku mikroserwisów działających jako api dla aplikacji frontowej jest to jedyne sensowne rozwiązanie?
Mam wrażenie, że chcesz na siłę wpakować autentykację w miejsca gdzie jej nie powinno być.
Masz trzy strefy:
Client - appka frontowa
Auth Serv - czyli serwer autoryzacyjny
Resource Server - dowolne inne usługi, które wymagają tokena, u Ciebie to będzie jakieś tam API.
Wszystkie elementy tej infrastruktury należą do Ciebie, także jest zaufanie pomiędzy nimi, więc możesz zastosować standardowo password grant,