Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 2 [3] 4 5   вперед  Ctrl      все
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
моя задача прикрутить к этому апи
неужели на один rest service и один домен?
Ура микросервисам!
10 ноя 20, 13:19    [22229515]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49762
В таких задачах я всегда предлагаю не показывать промышленный код
а просто собрать макет на 5-10 строчек.

И показать проблему. Я сам часто собираю макеты и прототимы чтобы
что-то тестить.
10 ноя 20, 13:23    [22229520]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
mayton
Zzz79

сейчас проблема в том что я хочу повторить тоже самое ,но упираюсь в спринг секурити - так как на любой запрос генерится токен ( о котором петро даже не вкурсе) и без него ты будешь получать 401 ,если пойдешь не через сайт ,а сразу на бек- а апи мы отдаем именно напрямую через бек

Не совсем так. Токен генерируется по требованию как билет на поезд. Купил билет. В нем
указано на кого. И что он разрешает. И какое время действия. Например 24 часа. Что-то
типа сеансового токена. По истечении времени токена - ты по событию снова обращашся
к серверу токенов и просишь новый.

И дальше ты ходишь с этим токеном и всем предъявляешь. Но для полноценной (100%)
правильной реализации этого стека нужно минимум 3 участника.

1-клиент
2-сервер
3-сервер токенов

Если количество участников искусственно сократить то тогда смысл этой безопасности теряется.

я не знаю как он геренируется этот токен- но он на каждый запрос разный и сосбственно я так он мне мешает получить доступ к своему апи
10 ноя 20, 13:44    [22229536]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
я не знаю как он геренируется
тебе осталось сделать демку КАК НАДО сделать.
То есть Hello world
10 ноя 20, 13:49    [22229544]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
PetroNotC Sharp
пропущено...
то что тебе надо ВЫБРАТЬ СТАНДАРТ
- базовая
- form
- digest
- JWT
Тебе не доходит.
ОК

у нас уже все выбрано - ты меня не слышишь видимо
менять мне там никто ничего не даст,все настроено и работает,а моя задача прикрутить к этому апи
Ты меня своим балабольством поражаешь.))) :)) :
ВЫБРАНО ЧТО ИЗ 4Х пунктов?
Если там JWT то что менять?
10 ноя 20, 14:18    [22229577]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Получается что ты жертва спринга и бута.
10 ноя 20, 14:19    [22229580]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
PetroNotC Sharp
Zzz79
моя задача прикрутить к этому апи
неужели на один rest service и один домен?
Ура микросервисам!

это не микросервис) а монолит
собственно обычный большой рестфул сервис .
Был написано на ноде + монго
Переревили на джаву + постгрес + хибер
Весь функционал ,кроме внешнего апи уже написан и функционирует на проде
В мою задачу вошло написать апи по аналогии со старым один в один- там не так много роутов ,но всеже они есть
так вот старый сервис отдавал данные по некому кею,который выдавали админы приложения юзеру
сейчас у нас спринг секурити,что не даст прямого доступа к апи ,как вы понимаете ,юзерам,которые не авторизованы-соотвественно как мне тут подсказали нужно отправить запрос на логин - получить куки- отправить с куки нужный запрос и вы в танцах

понятно что клиенты так делать не будут - ибо это бред сидеть там копипасить куки и куда то их вставлять,а реализовать автоматически мы не можем это наверно,так как доступ к их по нам никто не даст
поэтому у меня вопрос как это сделать
мое видение такое - отключить авторизацию на конректные эндпоинты,прикрутить туда фильтр который чекает наличие некоего ключа
получается безопасно и кошерно- вопрос как это реализовать в коде
10 ноя 20, 14:22    [22229582]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
PetroNotC Sharp
Zzz79
пропущено...

у нас уже все выбрано - ты меня не слышишь видимо
менять мне там никто ничего не даст,все настроено и работает,а моя задача прикрутить к этому апи
Ты меня своим балабольством поражаешь.))) :)) :
ВЫБРАНО ЧТО ИЗ 4Х пунктов?
Если там JWT то что менять?

там много выбрано - в зависимости от спринг профиля юзается та или иная авторизация- кто то из покупателей берет обычный логин/пароль,кто то ауф .там спрингскурити конфиг размером с мой дом)
10 ноя 20, 14:24    [22229584]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49762
Zzz79

мое видение такое - отключить авторизацию на конректные эндпоинты,прикрутить туда фильтр который чекает наличие некоего ключа
получается безопасно и кошерно- вопрос как это реализовать в коде

Обсуди это с лидом. Я-бы не стал так делать. Слишком уж оно... пахнет дыркой в безопасности.
10 ноя 20, 14:29    [22229587]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
там много выбрано - в зависимости от спринг профиля юзается та или иная авторизация- кто то из покупателей берет обычный логин/пароль,кто то ауф .там спрингскурити конфиг размером с мой дом)
либа в конфиге ПОЗВОЛЯЕТ несколько бинов для всех моих пунктов выше.
И....?
)))))
10 ноя 20, 14:32    [22229591]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
mayton
Zzz79

мое видение такое - отключить авторизацию на конректные эндпоинты,прикрутить туда фильтр который чекает наличие некоего ключа
получается безопасно и кошерно- вопрос как это реализовать в коде

Обсуди это с лидом. Я-бы не стал так делать. Слишком уж оно... пахнет дыркой в безопасности.

Завтра будем обсуждать,собственно либо не делать мозги ,а стучаться уже авторизованным -но тут есть заковыка

окно авторизации логин/пароль у нас находится по урлу 8083/auth метод гет
далее идет переадресация на 8080/api/login метод пост и добавляется в куки токен csrf

я пытаюсь проделать все тоже самое - но получаю ошибку неверный токен/пароль

залез в базу там пароль лежит закодированый ,попробовал его вместо пароля заиспользовать тоже ничего не выходит

в чем прикол не пойму - как мне достучаться до своего апи через постман.... пипец какой то
10 ноя 20, 15:05    [22229609]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49762
Ничем пока не помогу. В твоем уравнении - слишком много неизвестных.

Единственное что могу тебе предложить - нарисуй себе на бумажке схему
старой авнетификации и авторизации на Node.JS. и полностью разберись как она
раньше работала.

Postman выброси. Это инструмент тестировщика. Если хочешь проверить
систему с состоянием (statefull) то пиши приложение. Бут или не бут это
неважно. Сетевым протоколам вобщем то по барабану на чем их писать.
10 ноя 20, 15:13    [22229614]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
в куки токен csrf
ну вот, на третьей странице появилось новое - авторизация через куку.
Круто ты делишься инфой.
10 ноя 20, 15:13    [22229615]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
mayton
В твоем уравнении - слишком много неизвестных.
очередной прогер презирающий Hello world как метод познания мира)
10 ноя 20, 15:15    [22229616]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49762
Мда... это получается.. кросс-доменная передача секретных параметров csrf через строку запроса.
10 ноя 20, 15:21    [22229618]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
mayton,
щас покажу скрины консоли
я хз как тут все устроено - у меня башка уже кипит
10 ноя 20, 15:23    [22229619]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
страница с окном логина направлят гет запрос на 8083/auth
оттуда редирект на 8080/login и появляются куки

К сообщению приложен файл. Размер - 12Kb
10 ноя 20, 15:31    [22229624]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
собственно сейчас я хочу это повторить но уже без браузера - чтобы попробовать написат программу простую которая будет тянуть наше апи - хз как это повторить - на постмане я пока не смог,хотя делаю все тоже самое
10 ноя 20, 15:33    [22229625]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
тоесть грубо говоря - я знаю логин,пароль,но хочу авторизоваться без использования браузера
10 ноя 20, 15:35    [22229626]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Ты уже писал такой велосипед только с токенами от гугла.
Запамятовал ты.
10 ноя 20, 15:36    [22229629]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
тоесть грубо говоря - я знаю логин,пароль,но хочу авторизоваться без использования браузера

Имея свой сервер где надо авторизоваться?
Жжешь)))))
10 ноя 20, 15:37    [22229631]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49762
Да зачем мне этот скрин? Он все равно ничего не проясняет. У тебя в голове должен быть протокол.

Он может так выглядеть:

+
Картинка с другого сайта.


Или так. Вобщем это последовательность шагов чтобы получить доступ. И она - однозначна. И минимализирована
до предела. Тоесть ты не можешь ее просто так взять и упростить. ИЛи выкинуть из нее какой-то степ.
10 ноя 20, 15:41    [22229632]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1005
Да это пипец ребята ) я сижу тут гадаю как залогиниться на свой же сервер имея пароль и логин

а оказывается пост запрос выглядит вот так localhost://8080/login?username=&password=
я бл* в шоке оказывается надо в постман вбивать было вместо форм даты и прочего xxx-www-url form encoded

это значит в стактрейсе браузера будет болтаться логин и пароль)
заебись я тут голову ломаю
10 ноя 20, 16:32    [22229664]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
запрос выглядит вот так localhost://8080/login?username=&password=
вот теперь ждем повтора твоей фразы что клинта не трогаем.
Ну а уровень безопасности решает руководство а не ты.
Скажут что "у нас хакеров нет" и утрешься.
10 ноя 20, 16:39    [22229668]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Кстати походу либу теперь можешь не изучать. Не пригодилась. Зачем напрягаться.))
10 ноя 20, 16:41    [22229671]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 2 [3] 4 5   вперед  Ctrl      все
Все форумы / Java Ответить