Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: 1 2      [все]
 Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
Добрый день. Пишем корпоративное приложение, состоящих из нескольких модулей. Сервер приложения - Wildfly. В данный момент авторизация идет через wildfly, которое включает еще и sso. Есть идея отказаться от данной реализации, так как его масштабировать трудно. Несколько вопросов по этой теме:
1. Есть идея использовать авторизацию через jwt токен, надо ли написать свой авторизационный сервис или использовать опенсурс решение, например как KeyCloak.
2. Как будет работать перенаправление на авторизацию?
22 окт 19, 13:48    [21999826]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
mad_nazgul
Member

Откуда:
Сообщений: 4926
Акпар
Добрый день. Пишем корпоративное приложение, состоящих из нескольких модулей. Сервер приложения - Wildfly. В данный момент авторизация идет через wildfly, которое включает еще и sso. Есть идея отказаться от данной реализации, так как его масштабировать трудно. Несколько вопросов по этой теме:
1. Есть идея использовать авторизацию через jwt токен, надо ли написать свой авторизационный сервис или использовать опенсурс решение, например как KeyCloak.
2. Как будет работать перенаправление на авторизацию?


1. Вот как вам удобно. Можно самим написать, можно взять готовое.

2. Обычно если используется SPA, то все делается в рамках SPA. А бакенд просто проверяет токен (без перенаправления)
22 окт 19, 14:08    [21999852]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
через wildfly, которое включает еще и sso. Есть идея отказаться от данной реализации, так как его масштабировать трудно
что именно трудно? Уверены?
22 окт 19, 14:13    [21999861]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
mad_nazgul,
SPA не имеет вроде отношения к авторизации. Токен что на одно окно, что на 50 окон.
22 окт 19, 14:15    [21999863]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
написать свой авторизационный сервис
странно. А сейчас как у вас SSO без сервера авторизации?
22 окт 19, 14:16    [21999872]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар,
У вас счас работает SSO. ВЫ ЕГО НЕ ОПИСАЛИ.
Счас хотите все переписать и написать точно такой SSO.
...
Наверно программистам нечего делать. Или кто то обучается за счет фирмы.
22 окт 19, 14:25    [21999893]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
mad_nazgul
Member

Откуда:
Сообщений: 4926
PetroNotC Sharp
mad_nazgul,
SPA не имеет вроде отношения к авторизации. Токен что на одно окно, что на 50 окон.


Как не имеет?!
А откуда формочка с логином и паролем возметься :-)
22 окт 19, 14:40    [21999918]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
mad_nazgul
Member

Откуда:
Сообщений: 4926
PetroNotC Sharp
Акпар
через wildfly, которое включает еще и sso. Есть идея отказаться от данной реализации, так как его масштабировать трудно
что именно трудно? Уверены?


Трудно.
Более-менее легко только вертикальное масштабирование.
Горизонтальное - это поднятие кластера, что для любого сервера приложений тот еще геморрой.
22 окт 19, 14:42    [21999925]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
mad_nazgul
А откуда формочка с логином и паролем возметься :-)
ну, например у нас в госуслугах показывал сайт госуслуг. В фейсбуке наверно форма от фейсбука.
22 окт 19, 15:00    [21999953]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
mad_nazgul
Трудно
вам же не сказали как вообще там сделано.
22 окт 19, 15:01    [21999954]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
mad_nazgul,
В sso idP server. Ему плевать, сколько у вас серверов, окон и приложений.
22 окт 19, 15:05    [21999960]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
PetroNotC Sharp
Акпар
написать свой авторизационный сервис
странно. А сейчас как у вас SSO без сервера авторизации?

Сейчас авторизация идет через сервер приложение
22 окт 19, 15:20    [21999986]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
Сейчас авторизация идет через сервер приложение
рукописное полностью?
22 окт 19, 15:22    [21999990]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар,
Найдите картинку тут
https://www.google.com/search?q=sso&newwindow=1&client=tablet-android-huawei&prmd=vimn&sxsrf=ACYBGNRYpBZNf-vV_jcZUAJfHbxnVOZipg:1571746982692&source=lnms&tbm=isch&sa=X&ved=2ahUKEwjxxtHk7a_lAhVnsosKHQvNDrsQ_AUoAnoECBEQAg&biw=962&bih=601
И расскажите что у вас болит.
Иначе как лечить то?)))))
22 окт 19, 15:24    [21999995]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
mad_nazgul
Member

Откуда:
Сообщений: 4926
PetroNotC Sharp
mad_nazgul
А откуда формочка с логином и паролем возметься :-)
ну, например у нас в госуслугах показывал сайт госуслуг. В фейсбуке наверно форма от фейсбука.


Вот. Если делается SPA, то в нем же обычно и формочка для логина и пароля.
Который обращается к сервису авторизации и получает токен.
Потом с этим токеном идут обращения к бакенду.
22 окт 19, 15:31    [22000004]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
mad_nazgul
Member

Откуда:
Сообщений: 4926
PetroNotC Sharp
Акпар
Сейчас авторизация идет через сервер приложение
рукописное полностью?


Сказано - сервер приложений.
Самим зачем рисовать?
22 окт 19, 15:32    [22000005]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
mad_nazgul
Member

Откуда:
Сообщений: 4926
PetroNotC Sharp
mad_nazgul
Трудно
вам же не сказали как вообще там сделано.


Сказано - WildFly.
Это как то очень сильно орграичивает способы масштабирования приложения.
22 окт 19, 15:33    [22000009]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
Сейчас хотим отделить фронтенд из варника и положить в nginx. Но авторизация wildfly смотрит на index.html который у себя лежит. Если отделить его то невозможно авторизоватся.
22 окт 19, 15:44    [22000021]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
mad_nazgul
PetroNotC Sharp
пропущено...
ну, например у нас в госуслугах показывал сайт госуслуг. В фейсбуке наверно форма от фейсбука.


Вот. Если делается SPA, то в нем же обычно и формочка для логина и пароля.
Который обращается к сервису авторизации и получает токен.
Потом с этим токеном идут обращения к бакенду.
издеваешься?
Форму логина к гуглу или олноклассникам никогда не видел?
Или сам ее рисовал?
22 окт 19, 15:45    [22000023]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
Сегодня у нас один appserver, завтра будет два или еще больше. То у каждого будет свой центр авторизации. Nginx запросто может перенаправить запрос с токеном от одного сервера, в другой сервер.
22 окт 19, 15:49    [22000026]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
авторизация wildfly
вам чернил жалко?
Опишите пару абзацев какой метод авторизации у вас. Где пароли? Где форма логина? И т.д.
22 окт 19, 15:51    [22000030]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
То у каждого будет свой центр авторизации.
нет. Картинка где?
Сервер авторизации один. И он не ваш как бы. Зовут его idP.
Либо у вас вообще не SSO.
22 окт 19, 15:53    [22000034]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
Form authentication. Форма логин и пароля на angularjs
22 окт 19, 15:55    [22000036]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
Form authentication
замечательно.
Теперь, у вас приложениеА и приложениеБ есть?
Логины в обоих вводят?
22 окт 19, 15:59    [22000042]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
Sso который реализовывает wildfly. Sso в рамках одной appserver. То есть в wildfly задеплоен несколько модулей, между ними sso. В данный момент у нас только один appserver.
22 окт 19, 16:04    [22000049]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
wildfly задеплоен несколько модулей, между ними sso.
понятно.
Теперь чтобы перейти на взрослуб систему вам надо внешний idP server.
Это UAA, Identity Blirz, DEX, google,....
22 окт 19, 16:11    [22000058]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
Есть 5 приложении(модулей). Все они задеплоены на одном сервере. Форму заполняет только один модуль, остальные этот токен используют.
22 окт 19, 16:12    [22000061]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Ну и тот что вы написали Keycloak тоже можно. Они все используют токены.
Главное выберите простой вариант сначала.
Вроде можно и Ldap делать вместо SSO.
И для UAA тема в ветке есть от Sergunka.
22 окт 19, 16:16    [22000066]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
Wildfly
у него нельзя извне из какого нибудь томката обращатся к этому модулю с формочкой и юзверями?
22 окт 19, 16:28    [22000078]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
PetroNotC Sharp
Акпар
Wildfly
у него нельзя извне из какого нибудь томката обращатся к этому модулю с формочкой и юзверями?

Не пробовал.
22 окт 19, 16:39    [22000085]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
Акпар
Не пробовал.
ну дак и темы бы не было.
Будет выделенный сервер авторизации, провайдер Identity.
Это как субд вынести из хоста где веб сервер стоит.
"Масштабируй не хочу"
22 окт 19, 16:53    [22000096]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
qasta
Member

Откуда:
Сообщений: 98
Акпар,
У самого Wildfly есть способы настроить SSO в том числе и для кластера - ключевые слова для поиска Wildfly Elytron или Keycloak.

В зависимости от требований вам нужны Wildfly + Elytron или Wildfly + Elytron + Keycloak + Keycloak Wildfly Elytron Adapter.

Какой версии Wildfly-то?
22 окт 19, 16:55    [22000098]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
qasta
Акпар,
У самого Wildfly есть способы настроить SSO в том числе и для кластера - ключевые слова для поиска Wildfly Elytron или Keycloak.

В зависимости от требований вам нужны Wildfly + Elytron или Wildfly + Elytron + Keycloak + Keycloak Wildfly Elytron Adapter.

Какой версии Wildfly-то?

12.Final
22 окт 19, 17:22    [22000112]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Sergunka
Member

Откуда: Bay Area, CA
Сообщений: 2001
Акпар
1. Есть идея использовать авторизацию через jwt токен, надо ли написать свой авторизационный сервис или использовать опенсурс решение, например как KeyCloak.


Из моего опыта пользовались двумя серверами

UAA
https://github.com/cloudfoundry/uaa - орен соурс сервер можно даже что-то свое дописать

WSO2
https://docs.wso2.com/display/AM210/Downloading the Product

Вроде как проблем особых с маштабируемостью не наблюдалось. У вас сколько сессий намечается?
22 окт 19, 18:48    [22000164]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
Sergunka,

Примерно 15000 пользователей будут работать одновременно.
22 окт 19, 19:46    [22000200]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Sergunka
Member

Откуда: Bay Area, CA
Сообщений: 2001
Акпар
Sergunka,

Примерно 15000 пользователей будут работать одновременно.


Хороший случай в средней UUA тянет 5 тысяч юзеров и латенси 800 в секунду если мне мой склероз не изменяет.
22 окт 19, 23:00    [22000303]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Акпар
Member

Откуда:
Сообщений: 56
Sergunka
Акпар
Sergunka,

Примерно 15000 пользователей будут работать одновременно.


Хороший случай в средней UUA тянет 5 тысяч юзеров и латенси 800 в секунду если мне мой склероз не изменяет.


Есть ли годный туториал по UAA?
23 окт 19, 05:39    [22000373]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
qasta
Member

Откуда:
Сообщений: 98
Акпар
qasta
Акпар,
У самого Wildfly есть способы настроить SSO в том числе и для кластера - ключевые слова для поиска Wildfly Elytron или Keycloak.

В зависимости от требований вам нужны Wildfly + Elytron или Wildfly + Elytron + Keycloak + Keycloak Wildfly Elytron Adapter.

Какой версии Wildfly-то?

12.Final


Ну тогда статья вам в помощь - https://habr.com/ru/company/true_engineering/blog/272149/

Через SAML вы вполне можете сделать аутентификацию даже для серверов, находящихся не в кластере.
23 окт 19, 12:41    [22000724]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 2481
qasta,
Смотрю ему для масштабирования достаточно разнести с одной машины хоста на разные базу, сервер приложений и sso сервер.
И всё.
23 окт 19, 13:26    [22000776]     Ответить | Цитировать Сообщить модератору
 Re: Авторизационный сервис  [new]
Sergunka
Member

Откуда: Bay Area, CA
Сообщений: 2001
Акпар
Sergunka
пропущено...


Хороший случай в средней UUA тянет 5 тысяч юзеров и латенси 800 в секунду если мне мой склероз не изменяет.


Есть ли годный туториал по UAA?


Там по докам можно разобраться, но легко не будет.

https://github.com/cloudfoundry/uaa/tree/master/docs
23 окт 19, 18:29    [22001185]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: 1 2      [все]
Все форумы / Java Ответить