Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Java Новый топик    Ответить
Топик располагается на нескольких страницах: 1 2 3 4 5      [все]
 Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
Народ помогите советом как вывернуться
На новой работе дали такую большую задачку
взять пример апи старого сервиса ,написаннного на node.js и прикрутить аналог к новому сервисву,который написан на джаве

Соотвественно в чем проблема
старый сервис отдавал данные при запросах если в хедер мы записывали x-api-key: TXK5u7G6XdsUCh8PkEIL
этот токен генерится в монго и соотвественно прикручивается к группе пользователей
в итооге чтобы получить данные от старого сервиса я вбиваю в постман запрос с хедером в качестве этого ключа

в новом сервисе база постргрес + авторизация спринг секурити
собственно как мне отдавать данные только авторизованным юзерам?
либо делать такой же токен + добавлять его к юзеру либо на основе спринг секурити как то

но у клиента должна быть понятная картина как использовать наше апи
9 ноя 20, 18:00    [22228938]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Непонятна точка сопряжения старого и нового.
Если она есть, то можно считать старый сервис как поставщик токенов (SSO)
Если нет, то в новой все по новому.
9 ноя 20, 18:43    [22228975]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Картинко.
Только вместо AD твой старый сервис

Картинка с другого сайта.
9 ноя 20, 18:47    [22228982]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
как мне отдавать данные только авторизованным юзерам?

Ты как на картинке WLS должен на get вернуть 401 HTTP ERROR
юзверь отправится за правильным токеном на старый сервис.
9 ноя 20, 19:03    [22228991]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp,
проблема в том что мы новый сервис специально и пишем ,чтобы старый отключить,поэтому нужно понять что делать

тоесть каким образом отправлять запросы на сервис ,который крутится под Spring Security
9 ноя 20, 20:44    [22229093]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
у меня была идея сделать "permit all " на это апи,чтобы открыть его для всех ,и далее уже делать как в прошлом сервисе - генерировать какой то токен на группу и при реквесте проверять токен и отдавать что просят или посылать ,если токен не валиден

но что то мне подсказывает,что такое можно сделать и через спринг секурити
9 ноя 20, 21:04    [22229101]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Alexander A. Sak
Member

Откуда: Омск
Сообщений: 1128
У тебя же есть Спринг Бут и IDEA. Разве этого не достаточно?

Если нет, то придется читать доки. Подозреваю, начиная отсюда: https://docs.spring.io/spring-security/site/docs/current/reference/html5/#servlet-authentication

Я подобное делал добавлением своего фильтра (https://docs.spring.io/spring-security/site/docs/current/reference/html5/#ns-custom-filters) в позиции PRE_AUTH_FILTER
9 ноя 20, 22:03    [22229129]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
проблема в том что мы новый сервис специально и пишем ,чтобы старый отключить,поэтому нужно понять что делать

тоесть каким образом отправлять запросы на сервис ,который крутится под Spring Security

Уже сказали, в Spring Security есть фильтры.
Пробуй!
Тебе это надо знать.
...
А по задаче, непонятно какой вариант вы хотите.
- есть servis-old//app/v1 и вы хотите что при get на него он втихую редирект на новый servis-new/app/v2?
Или наоборот? Логика то вся на servis-old
9 ноя 20, 22:50    [22229159]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mad_nazgul
Member

Откуда:
Сообщений: 5596
Zzz79
но у клиента должна быть понятная картина как использовать наше апи


Учитесь не думать!
<:o)
10 ноя 20, 06:30    [22229283]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
проблема в том что мы новый сервис специально и пишем ,чтобы старый отключить,поэтому нужно понять что делать

тоесть каким образом отправлять запросы на сервис ,который крутится под Spring Security

Уже сказали, в Spring Security есть фильтры.
Пробуй!
Тебе это надо знать.
...
А по задаче, непонятно какой вариант вы хотите.
- есть servis-old//app/v1 и вы хотите что при get на него он втихую редирект на новый servis-new/app/v2?
Или наоборот? Логика то вся на servis-old

Мы просто выключили старый сервис- сейчас пишем новый-задача сделать внешнее апи идентичным старому один в один
10 ноя 20, 09:06    [22229304]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mad_nazgul
Zzz79
но у клиента должна быть понятная картина как использовать наше апи


Учитесь не думать!
<:o)

не все так просто - у нас basic auth

Повторю суть задачи- старый сервис отдавал данные без аутенфикации ,но юзер должен был получить от админа сервиса некиий пароль,который далее клали в хедер реквеста и собственно это было некой аутенфикацией

сейчас у нас спринг секурити- мое видение я хочу чтобы юзер делал запрос с своим паролем и логином
поэтому у меня вопрос как это сделать?
через постман у меня не получается- все равно 401 приходит ошибка

К сообщению приложен файл. Размер - 84Kb
10 ноя 20, 09:17    [22229313]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
Мы просто выключили старый сервис
тогда врубаем spring security сверху и внимание вопрос.
Что не получилось?
Вот это все либа делает автоматом и это не нужно
автор
старый сервис отдавал данные при запросах если в хедер мы записывали x-api-key: TXK5u7G6XdsUCh8PkEIL
этот токен генерится в монго и соотвественно прикручивается к группе пользователей

Про что вопрос тогда?
10 ноя 20, 09:24    [22229319]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
не все так просто - у нас basic auth
не ври. В этом режиме окно пароля выводит сам интернет эксплорер. Окошко ввода невозможно измннить по дизайну.
10 ноя 20, 09:25    [22229322]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
сейчас у нас спринг секурити- мое видение я хочу чтобы юзер делал запрос с своим паролем и логином
поэтому у меня вопрос как это сделать?
Hello world из примеров либы сделал?
Что за сумасшедший дом?
10 ноя 20, 09:27    [22229326]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
через постман у меня не получается-
выкинь его.
Сначала демка на Spring Security с интернет эксплорером.
Потом заменяешь его вызовом API
10 ноя 20, 09:29    [22229328]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
секурити- мое видение я хочу чтобы юзер делал запрос с своим паролем и логином

Либо базовая аутентификация и логин пароль идут в нешифрованном виде в хидере
Либо
Токен аутентификация и на сервер идет токен.
10 ноя 20, 09:32    [22229332]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
через постман у меня не получается-
выкинь его.
Сначала демка на Spring Security с интернет эксплорером.
Потом заменяешь его вызовом API

смотри-мне просто нужно чтобы клиент понимал ,как ему получить ответ от нашего сервиса по API
соотвественно я должен понять как мне отправлять запрос на наш сервис

пока я получаю ошибку 401
10 ноя 20, 09:40    [22229338]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
тоесть в старом сервисе я просто делал пост запрос через постман и указывал хедер с ключом
сейчас мне нужен пост запрос который позволит пройти авторизацию спринга,пароль/логин ввожу в постман-получаю 401
10 ноя 20, 09:47    [22229343]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Ты сделай демку ХОТЯ БЫ ОДНУ либы.
ОК?
10 ноя 20, 09:51    [22229345]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
Короче там все сложно у нас,фронт и бек это два разных приложения,крутятся на разных портах.
Сооттвественно если пользователь работает на сайте - то все запросы сначала попадают на фронт,там они преобразуются и попадают на бек ,при этом туда вкладывается csrf token
собственно поэтому я и не могу послать авторизованный запрос сразу на бек ,так как токен будет уже протухший

вообщем наверно надо отключать для /api/** секурити ,давать юзерам токен какой то и по нему отдавать данные
10 ноя 20, 10:58    [22229374]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Слился))))
10 ноя 20, 11:08    [22229381]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
А как пел красиво про технологии 21 века)))
10 ноя 20, 11:10    [22229382]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
Сооттвественно если пользователь работает на сайте - то все запросы сначала попадают на фронт,
сайт это бэк.
Первый запрос это фронт GET на бэк.
Переведи что написал
10 ноя 20, 11:15    [22229387]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Вот так спринг запудривает мозги
10 ноя 20, 11:19    [22229392]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Вот так спринг запудривает мозги

петро запудриваешь мозги тут всем только ты,от твоих постов практической пользы 0 целых,0 десятых -тупо спам

там где ты - постоянно кучу мусора ,выйди пожалуйста из этой темы ,мне нужно с людьми,кто разбирается решить вопрос этот
10 ноя 20, 11:29    [22229399]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
У тебя никого нет с кем решать.
Жалуются на петро бездельники. Профи никогда.
Фильтр не сделал.
Демку тоже.
Бездельник.
10 ноя 20, 11:42    [22229407]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mad_nazgul
Member

Откуда:
Сообщений: 5596
Zzz79
mad_nazgul
пропущено...


Учитесь не думать!
<:o)

не все так просто - у нас basic auth


Опять. Зачем вы думаете?
Если basic auth, то думать не надо.
Надо использовать basic auth.
Хотя бы почитайте как передает логин/пароль basic auth. ;-)
Там ничего сложного.
10 ноя 20, 12:19    [22229435]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mad_nazgul
Member

Откуда:
Сообщений: 5596
Zzz79
Короче там все сложно у нас,фронт и бек это два разных приложения,крутятся на разных портах.
Сооттвественно если пользователь работает на сайте - то все запросы сначала попадают на фронт,там они преобразуются и попадают на бек ,при этом туда вкладывается csrf token
собственно поэтому я и не могу послать авторизованный запрос сразу на бек ,так как токен будет уже протухший

вообщем наверно надо отключать для /api/** секурити ,давать юзерам токен какой то и по нему отдавать данные


Вот поэтому смотрим либо в сторону OAuth2, либо SAML.

Для начала попробуйте через OAuth2.
10 ноя 20, 12:23    [22229443]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
mad_nazgul
Zzz79
пропущено...

не все так просто - у нас basic auth


Опять. Зачем вы думаете?
Если basic auth, то думать не надо.
Надо использовать basic auth.
Хотя бы почитайте как передает логин/пароль basic auth. ;-)
Там ничего сложного.

+1
curl -user тутИмяПароль
Лень ему
10 ноя 20, 12:33    [22229448]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
mad_nazgul
Вот поэтому смотрим либо в сторону OAuth2, либо SAML.

Для начала попробуйте через OAuth2.
а все вместе это SSO
10 ноя 20, 12:34    [22229449]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Zzz79

Соотвественно в чем проблема
старый сервис отдавал данные при запросах если в хедер мы записывали x-api-key: TXK5u7G6XdsUCh8PkEIL
этот токен генерится в монго и соотвественно прикручивается к группе пользователей
в итооге чтобы получить данные от старого сервиса я вбиваю в постман запрос с хедером в качестве этого ключа

Знания про x-api-key здесь - неполные. Кажется что тебе просто недоговаривают или не рассказали
про архитектуру в целом. Скорее всего система работает на каком-то стандартном протоколе безопасности.
Тебе надо просто понять на каком. Раньше были LDAP/Microsoft AD. Сейчас OAuth.

И если ты будешь знать название этого протокола - тогда найдешь под Spring ему соотвествующий
переходник.
10 ноя 20, 12:35    [22229450]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
Вообщем моя мысль такая -поставить в конфигурации спринг секурити фильтр - который будет фильтровать по хедеру

что то типо вот такого
@Configuration
@EnableWebMvcSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityConfigDemo extends WebSecurityConfigurerAdapter {
    
    @Autowired
    private DemoAuthenticationProvider demoAuthenticationProvider;
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {        
                
        http
        .authorizeRequests()
            .antMatcher("/user")
                .addFilterBefore(new DemoAuthenticationFilter(), BasicAuthenticationFilter.class)                
        ;
                        
    }
    
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {        
        auth.authenticationProvider(demoAuthenticationProvider);        
    }    
    
и сам фильтр
}

public class DemoAuthenticationFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request,
            HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        
        String xAuth = request.getHeader("X-Authorization");
        
        // validate the value in xAuth
        if(isValid(xAuth) == false){
            throw new SecurityException();
        }                            
        
        // The token is 'valid' so magically get a user id from it
        Long id = getUserIdFromToken(xAuth);
        
        // Create our Authentication and let Spring know about it
        Authentication auth = new DemoAuthenticationToken(id);
        SecurityContextHolder.getContext().setAuthentication(auth);            
        
        filterChain.doFilter(request, response);
    }

}


но у нас в спринг конфиге фильтры другие какие то например вот такой
 @Bean
  protected Filter corsFilter() {
    var config = new CorsConfiguration();
    config.setAllowCredentials(true);
    config.setAllowedOrigins(allowedOrigins);
    config.setAllowedMethods(getCorsAllowedMethods());
    config.addAllowedHeader("*");

    var source = new UrlBasedCorsConfigurationSource();
    source.registerCorsConfiguration("/**", config);
    return new CorsFilter(source);
  }
10 ноя 20, 12:38    [22229455]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
mayton,
Он выше. Сказал что ПЕРЕПИСЫВАЕТ старый сервис на новый.
С чем тогда протокол взаимодействует?
Нет ответа.
10 ноя 20, 12:39    [22229456]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
extends WebSecurityConfigurerAdapter
родил наконец конфиг
10 ноя 20, 12:40    [22229458]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
mad_nazgul
пропущено...


Опять. Зачем вы думаете?
Если basic auth, то думать не надо.
Надо использовать basic auth.
Хотя бы почитайте как передает логин/пароль basic auth. ;-)
Там ничего сложного.

+1
curl -user тутИмяПароль
Лень ему

не работает так я уже пробовал- я же тебе выше сказал у нас этот говно токен scrf ,который фронт генерит при каждом запросе и отдает на бек
тобишь прямое обращение к беку в данной ситуации невозможно
10 ноя 20, 12:41    [22229459]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
не работает так я уже пробовал
код дай бездельник. Что не работает!
10 ноя 20, 12:43    [22229460]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
выше сказал у нас этот говно токен scrf ,
ты на этой фразе выше пошел на личности вместо уточнений КТО И ЗАЧЕМ ДЕЛАЕТ ТОКЕНЫ
10 ноя 20, 12:44    [22229461]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
фронт генерит при каждом запросе
при либе Spring Security это делает поставщик токенов на https и дальше идем с токеном на любые рест ресурсы уже без буквы s
Нужно ли клиенту заморачиваться на это?
10 ноя 20, 12:48    [22229465]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
mayton,
Я представил как 200 разных клиентов генерят токены)))))
10 ноя 20, 12:50    [22229468]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Короче, строку zzz79:123 кодируй в base64 клиентами и отправляй в хидере.
Не надо токенов.
Это сложно для тебя.
10 ноя 20, 12:52    [22229472]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mad_nazgul
Zzz79
пропущено...

не все так просто - у нас basic auth


Опять. Зачем вы думаете?
Если basic auth, то думать не надо.
Надо использовать basic auth.
Хотя бы почитайте как передает логин/пароль basic auth. ;-)
Там ничего сложного.

он передается как некий токен в хедере- но я пробовал в постмане basic auth и меня не пропустило

по большому счету мне нужен некий фильтр который будет брать неавторизованые реквесты и чекать некий токен ,который будет в хедере - если он есть и похож на то что в бд- значит отдаем юзеру что он просил,нет отдаем ошибку неверный токен
10 ноя 20, 12:53    [22229475]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
постмане basic auth и меня не пропустило
а curl пропу тило?
LOL
10 ноя 20, 12:55    [22229479]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
по большому счету мне нужен некий фильтр который будет брать неавторизованые реквесты и чекать некий токен ,который будет в хедере - если он есть и похож на то что в бд- значит отдаем юзеру что он просил,нет отдаем ошибку неверный токен
то что тебе надо ВЫБРАТЬ СТАНДАРТ
- базовая
- form
- digest
- JWT
Тебе не доходит.
ОК

Сообщение было отредактировано: 10 ноя 20, 12:58
10 ноя 20, 13:02    [22229491]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
mayton,
Он выше. Сказал что ПЕРЕПИСЫВАЕТ старый сервис на новый.
С чем тогда протокол взаимодействует?
Нет ответа.

СЕРВИС взаимодействует сам с собой)
Что тут непонятного то?был старый сервис - сейчас пишем новый)
старый отдавал данные по апи без авторизации а только при наличии x-api-key в хедерах,который выдавался каждому юзеру индивидуально администратором приложения.Генерился он в монгоДБ насколько я понял- но это не суть

моя задача сделать тоже самое
выдать юзеру по токену( что будет токеном - скорей всего uuid пользователя из бд)

сейчас проблема в том что я хочу повторить тоже самое ,но упираюсь в спринг секурити - так как на любой запрос генерится токен ( о котором петро даже не вкурсе) и без него ты будешь получать 401 ,если пойдешь не через сайт ,а сразу на бек- а апи мы отдаем именно напрямую через бек

есть простая идея тупо включить пермит all для урла апи- но тогда любой сможет сташить данные- нужна либо авторизация ,либо как было в старом сервисе обычный ключ - я так понимаю это можно сделать фильтром ,правда как это сделать в контексте нашего приложения не очень понятно
10 ноя 20, 13:05    [22229495]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
постмане basic auth и меня не пропустило
а curl пропу тило?
LOL

нет же ,ты чем слушаешь то?
ни курл ни постман - не работают! 401 всегда
10 ноя 20, 13:06    [22229497]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
по большому счету мне нужен некий фильтр который будет брать неавторизованые реквесты и чекать некий токен ,который будет в хедере - если он есть и похож на то что в бд- значит отдаем юзеру что он просил,нет отдаем ошибку неверный токен
то что тебе надо ВЫБРАТЬ СТАНДАРТ
- базовая
- form
- digest
- JWT
Тебе не доходит.
ОК

у нас уже все выбрано - ты меня не слышишь видимо
менять мне там никто ничего не даст,все настроено и работает,а моя задача прикрутить к этому апи
10 ноя 20, 13:09    [22229502]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Zzz79

сейчас проблема в том что я хочу повторить тоже самое ,но упираюсь в спринг секурити - так как на любой запрос генерится токен ( о котором петро даже не вкурсе) и без него ты будешь получать 401 ,если пойдешь не через сайт ,а сразу на бек- а апи мы отдаем именно напрямую через бек

Не совсем так. Токен генерируется по требованию как билет на поезд. Купил билет. В нем
указано на кого. И что он разрешает. И какое время действия. Например 24 часа. Что-то
типа сеансового токена. По истечении времени токена - ты по событию снова обращашся
к серверу токенов и просишь новый.

И дальше ты ходишь с этим токеном и всем предъявляешь. Но для полноценной (100%)
правильной реализации этого стека нужно минимум 3 участника.

1-клиент
2-сервер
3-сервер токенов

Если количество участников искусственно сократить то тогда смысл этой безопасности теряется.
10 ноя 20, 13:09    [22229505]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Пример для базовой готов?
Давай сюда.
Без всяких твоих токенов.
10 ноя 20, 13:10    [22229506]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
менять мне там никто ничего не даст
первый раз ты это написал.
У меня отличная память
10 ноя 20, 13:12    [22229508]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
mayton,
+1
У меня нет терпения ему разжевывать
10 ноя 20, 13:13    [22229509]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
моя задача прикрутить к этому апи
неужели на один rest service и один домен?
Ура микросервисам!
10 ноя 20, 13:19    [22229515]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
В таких задачах я всегда предлагаю не показывать промышленный код
а просто собрать макет на 5-10 строчек.

И показать проблему. Я сам часто собираю макеты и прототимы чтобы
что-то тестить.
10 ноя 20, 13:23    [22229520]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mayton
Zzz79

сейчас проблема в том что я хочу повторить тоже самое ,но упираюсь в спринг секурити - так как на любой запрос генерится токен ( о котором петро даже не вкурсе) и без него ты будешь получать 401 ,если пойдешь не через сайт ,а сразу на бек- а апи мы отдаем именно напрямую через бек

Не совсем так. Токен генерируется по требованию как билет на поезд. Купил билет. В нем
указано на кого. И что он разрешает. И какое время действия. Например 24 часа. Что-то
типа сеансового токена. По истечении времени токена - ты по событию снова обращашся
к серверу токенов и просишь новый.

И дальше ты ходишь с этим токеном и всем предъявляешь. Но для полноценной (100%)
правильной реализации этого стека нужно минимум 3 участника.

1-клиент
2-сервер
3-сервер токенов

Если количество участников искусственно сократить то тогда смысл этой безопасности теряется.

я не знаю как он геренируется этот токен- но он на каждый запрос разный и сосбственно я так он мне мешает получить доступ к своему апи
10 ноя 20, 13:44    [22229536]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
я не знаю как он геренируется
тебе осталось сделать демку КАК НАДО сделать.
То есть Hello world
10 ноя 20, 13:49    [22229544]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
PetroNotC Sharp
пропущено...
то что тебе надо ВЫБРАТЬ СТАНДАРТ
- базовая
- form
- digest
- JWT
Тебе не доходит.
ОК

у нас уже все выбрано - ты меня не слышишь видимо
менять мне там никто ничего не даст,все настроено и работает,а моя задача прикрутить к этому апи
Ты меня своим балабольством поражаешь.))) :)) :
ВЫБРАНО ЧТО ИЗ 4Х пунктов?
Если там JWT то что менять?
10 ноя 20, 14:18    [22229577]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Получается что ты жертва спринга и бута.
10 ноя 20, 14:19    [22229580]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
моя задача прикрутить к этому апи
неужели на один rest service и один домен?
Ура микросервисам!

это не микросервис) а монолит
собственно обычный большой рестфул сервис .
Был написано на ноде + монго
Переревили на джаву + постгрес + хибер
Весь функционал ,кроме внешнего апи уже написан и функционирует на проде
В мою задачу вошло написать апи по аналогии со старым один в один- там не так много роутов ,но всеже они есть
так вот старый сервис отдавал данные по некому кею,который выдавали админы приложения юзеру
сейчас у нас спринг секурити,что не даст прямого доступа к апи ,как вы понимаете ,юзерам,которые не авторизованы-соотвественно как мне тут подсказали нужно отправить запрос на логин - получить куки- отправить с куки нужный запрос и вы в танцах

понятно что клиенты так делать не будут - ибо это бред сидеть там копипасить куки и куда то их вставлять,а реализовать автоматически мы не можем это наверно,так как доступ к их по нам никто не даст
поэтому у меня вопрос как это сделать
мое видение такое - отключить авторизацию на конректные эндпоинты,прикрутить туда фильтр который чекает наличие некоего ключа
получается безопасно и кошерно- вопрос как это реализовать в коде
10 ноя 20, 14:22    [22229582]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
пропущено...

у нас уже все выбрано - ты меня не слышишь видимо
менять мне там никто ничего не даст,все настроено и работает,а моя задача прикрутить к этому апи
Ты меня своим балабольством поражаешь.))) :)) :
ВЫБРАНО ЧТО ИЗ 4Х пунктов?
Если там JWT то что менять?

там много выбрано - в зависимости от спринг профиля юзается та или иная авторизация- кто то из покупателей берет обычный логин/пароль,кто то ауф .там спрингскурити конфиг размером с мой дом)
10 ноя 20, 14:24    [22229584]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Zzz79

мое видение такое - отключить авторизацию на конректные эндпоинты,прикрутить туда фильтр который чекает наличие некоего ключа
получается безопасно и кошерно- вопрос как это реализовать в коде

Обсуди это с лидом. Я-бы не стал так делать. Слишком уж оно... пахнет дыркой в безопасности.
10 ноя 20, 14:29    [22229587]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
там много выбрано - в зависимости от спринг профиля юзается та или иная авторизация- кто то из покупателей берет обычный логин/пароль,кто то ауф .там спрингскурити конфиг размером с мой дом)
либа в конфиге ПОЗВОЛЯЕТ несколько бинов для всех моих пунктов выше.
И....?
)))))
10 ноя 20, 14:32    [22229591]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mayton
Zzz79

мое видение такое - отключить авторизацию на конректные эндпоинты,прикрутить туда фильтр который чекает наличие некоего ключа
получается безопасно и кошерно- вопрос как это реализовать в коде

Обсуди это с лидом. Я-бы не стал так делать. Слишком уж оно... пахнет дыркой в безопасности.

Завтра будем обсуждать,собственно либо не делать мозги ,а стучаться уже авторизованным -но тут есть заковыка

окно авторизации логин/пароль у нас находится по урлу 8083/auth метод гет
далее идет переадресация на 8080/api/login метод пост и добавляется в куки токен csrf

я пытаюсь проделать все тоже самое - но получаю ошибку неверный токен/пароль

залез в базу там пароль лежит закодированый ,попробовал его вместо пароля заиспользовать тоже ничего не выходит

в чем прикол не пойму - как мне достучаться до своего апи через постман.... пипец какой то
10 ноя 20, 15:05    [22229609]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Ничем пока не помогу. В твоем уравнении - слишком много неизвестных.

Единственное что могу тебе предложить - нарисуй себе на бумажке схему
старой авнетификации и авторизации на Node.JS. и полностью разберись как она
раньше работала.

Postman выброси. Это инструмент тестировщика. Если хочешь проверить
систему с состоянием (statefull) то пиши приложение. Бут или не бут это
неважно. Сетевым протоколам вобщем то по барабану на чем их писать.
10 ноя 20, 15:13    [22229614]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
в куки токен csrf
ну вот, на третьей странице появилось новое - авторизация через куку.
Круто ты делишься инфой.
10 ноя 20, 15:13    [22229615]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
mayton
В твоем уравнении - слишком много неизвестных.
очередной прогер презирающий Hello world как метод познания мира)
10 ноя 20, 15:15    [22229616]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Мда... это получается.. кросс-доменная передача секретных параметров csrf через строку запроса.
10 ноя 20, 15:21    [22229618]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mayton,
щас покажу скрины консоли
я хз как тут все устроено - у меня башка уже кипит
10 ноя 20, 15:23    [22229619]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
страница с окном логина направлят гет запрос на 8083/auth
оттуда редирект на 8080/login и появляются куки

К сообщению приложен файл. Размер - 12Kb
10 ноя 20, 15:31    [22229624]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
собственно сейчас я хочу это повторить но уже без браузера - чтобы попробовать написат программу простую которая будет тянуть наше апи - хз как это повторить - на постмане я пока не смог,хотя делаю все тоже самое
10 ноя 20, 15:33    [22229625]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
тоесть грубо говоря - я знаю логин,пароль,но хочу авторизоваться без использования браузера
10 ноя 20, 15:35    [22229626]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Ты уже писал такой велосипед только с токенами от гугла.
Запамятовал ты.
10 ноя 20, 15:36    [22229629]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
тоесть грубо говоря - я знаю логин,пароль,но хочу авторизоваться без использования браузера

Имея свой сервер где надо авторизоваться?
Жжешь)))))
10 ноя 20, 15:37    [22229631]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Да зачем мне этот скрин? Он все равно ничего не проясняет. У тебя в голове должен быть протокол.

Он может так выглядеть:

+
Картинка с другого сайта.


Или так. Вобщем это последовательность шагов чтобы получить доступ. И она - однозначна. И минимализирована
до предела. Тоесть ты не можешь ее просто так взять и упростить. ИЛи выкинуть из нее какой-то степ.
10 ноя 20, 15:41    [22229632]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
Да это пипец ребята ) я сижу тут гадаю как залогиниться на свой же сервер имея пароль и логин

а оказывается пост запрос выглядит вот так localhost://8080/login?username=&password=
я бл* в шоке оказывается надо в постман вбивать было вместо форм даты и прочего xxx-www-url form encoded

это значит в стактрейсе браузера будет болтаться логин и пароль)
заебись я тут голову ломаю
10 ноя 20, 16:32    [22229664]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
запрос выглядит вот так localhost://8080/login?username=&password=
вот теперь ждем повтора твоей фразы что клинта не трогаем.
Ну а уровень безопасности решает руководство а не ты.
Скажут что "у нас хакеров нет" и утрешься.
10 ноя 20, 16:39    [22229668]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Кстати походу либу теперь можешь не изучать. Не пригодилась. Зачем напрягаться.))
10 ноя 20, 16:41    [22229671]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
запрос выглядит вот так localhost://8080/login?username=&password=
вот теперь ждем повтора твоей фразы что клинта не трогаем.
Ну а уровень безопасности решает руководство а не ты.
Скажут что "у нас хакеров нет" и утрешься.

мне сказали щас не гунди на проде https

собственно осталось собрать два курла ,один вот как тот запрос ,втрой с куками полученными
и написать код ,который будет это делать автоматически для демонстрации клиентам
я думаю ничего сложного
10 ноя 20, 16:48    [22229674]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Не. Твоих велосипедов тут никто не понимает.
И spring Security от этого очень далеко.
10 ноя 20, 16:55    [22229681]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79,
Не. Твоих велосипедов тут никто не понимает.
И spring Security от этого очень далеко.

Он ближе ,чем ты думаешь)
10 ноя 20, 17:11    [22229690]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Zzz79
PetroNotC Sharp
пропущено...
вот теперь ждем повтора твоей фразы что клинта не трогаем.
Ну а уровень безопасности решает руководство а не ты.
Скажут что "у нас хакеров нет" и утрешься.

мне сказали щас не гунди на проде https

собственно осталось собрать два курла ,один вот как тот запрос ,втрой с куками полученными
и написать код ,который будет это делать автоматически для демонстрации клиентам
я думаю ничего сложного

Тут беда в том что обычный девелопер не мотивирован делать безопасные системы.
Ему за это бонус не дадут а накажут за перенос таски в новый спринт. Тоесть тебе
грубо говоря проще на "соплях" сделать задачу.

Если таково положение дел - то я не возражаю. Делай как проще.

Вообще я не знаю модульного теста который покажет что твоя система безопасна.
Только внешние аудиты и сертификация могут хотя-бы показать что проблема есть.
Но вряд-ли тебя это будет беспокоить. Опять-же ответственность будет не на тебе.

Но хотя-бы заведи технический долг со ссылкой на эту таску. В будущем если
будут бить - прикроешся дескыть... - Я предлагал но техлид меня послал.
10 ноя 20, 17:25    [22229698]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
PetroNotC Sharp
Zzz79,
Не. Твоих велосипедов тут никто не понимает.
И spring Security от этого очень далеко.

Он ближе ,чем ты думаешь)
ага.
Тот кто тупил в конфиге базовой и конфиге для токенов JWT
10 ноя 20, 17:28    [22229703]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mayton,
я поставил тим лида в курс,он сказал что все ок)

сейчас будет задача интересней

Я должен клиенту отдать выгрузку это некий селект с 5-6 джоинами ,в плане sql я такой напишу пусть и не сразу - но напишу

но у нас хибер - вот думаю есть ли возможность в хибере делать множественные джоины
либо мне придется отдельно доставать из каждой таблицы все что мне надо и запихивать это в новое ДТО
еще не гуглил ,но чую будет весело,если такая возможность у хибера имеется
10 ноя 20, 18:12    [22229738]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
пропущено...

Он ближе ,чем ты думаешь)
ага.
Тот кто тупил в конфиге базовой и конфиге для токенов JWT

я бе те показал тот базовый конфиг на 3000 строк кода,чтоб у тебя глаза на лоб вылезли,да нельзя)
10 ноя 20, 18:25    [22229747]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Zzz79
mayton,
я поставил тим лида в курс,он сказал что все ок)

сейчас будет задача интересней

Я должен клиенту отдать выгрузку это некий селект с 5-6 джоинами ,в плане sql я такой напишу пусть и не сразу - но напишу

Делай на native SQL.
10 ноя 20, 18:50    [22229755]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Я ему про новый сервис а он припугнул легаси))))
Главное уйти с темы красиво))))
10 ноя 20, 18:59    [22229760]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mayton
Zzz79
mayton,
я поставил тим лида в курс,он сказал что все ок)

сейчас будет задача интересней

Я должен клиенту отдать выгрузку это некий селект с 5-6 джоинами ,в плане sql я такой напишу пусть и не сразу - но напишу

Делай на native SQL.

я с ним особо не работал,посмотрел вот тут пример https://stackoverflow.com/questions/38831335/how-to-inner-join-two-independent-entities-in-hibernate
не знаю получится ли у меня на что то подобное соорудить у меня 4 таблицы ,надо понять меж ними связи и для начала написать просто sql заппрос ,который отработает

пс. начал разбираться сразу прикол наше у двух таблиц связь 1 к 1
плять что за бред
10 ноя 20, 21:10    [22229809]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Я вижу такие смыслы.

- Таблицы класса Wide-column. Тоесть там за тыщу колонок и не все двигатели СУБД умеют хранить столько.
поэтому такие таблички иногда "режут вдоль".

- Таблицы содержут очень толстые поля типа BLOB/CLOB и их удобнее держать отдельно как привязанная
таблица к основной. И эта вторая - реже бэкапится или вообще не бекапится. И запросы к первой таблице
летают быстро т.к им не нужно вычитывать толстые объекты. Это удобно для Lazy-* запросов где подтягивается
сначала основная инфа по клиенту. А потом - дополнительная если запросят.

Пожалуй все. Какой еще извращенный подход можно придумать если ты DBA? Ну я не знаю. Я такое встречал
только один раз и схема была посложнее. Там было что-то типа наследования. Тоесть была родительная таблица
(супертип) типа тех-средство. И от нее - производные типы (модемы, роутеры хабы и всякие кабели и коробки).
И у них там были опциональные связи. Тоесть модем имел 1 запись в супертипах и 1 запись в модемах.
Далее по супертипам там гонялась какая-то аналитика. Почему так было сделано - ХЗ. Видно создатель
был фанат ООП в БД.
10 ноя 20, 21:45    [22229819]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mayton,не оказалось я баг нашел- вот что значит agile-scrum
удивительно,что до сих пор клиенты не заметили-видимо покупают подписку -чтобы было
10 ноя 20, 22:01    [22229831]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
Я должен клиенту отдать выгрузку
Неужели не догадался что DTO, ОРМ и хибер для CRUD а не для выгрузки.
Продолжаем делать велосипеды.
10 ноя 20, 22:58    [22229857]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
Я должен клиенту отдать выгрузку
Неужели не догадался что DTO, ОРМ и хибер для CRUD а не для выгрузки.
Продолжаем делать велосипеды.

петро я не начальник компании) ты пойми я нанялся сюда 4 дня назад,это их выбор и они нормально продаются кстати
но я уже высказал мнение- что для таких вещей ,которые они делают хибер не подходит,нужен жук- он умеет гораздо больше хибера и бесплатен с постргрес- собственно скорей всего будем переводить,а пока костылим

на счет ДТО и ОРМ ты не прав в корне,на счет хибера согласен

пс.Пока было свободное время я прошел курсы по sql и понимаю твою боль- зачем городить огород,когда база умеет все .
например вот то что мне надо из базы забрать я сделаю 4-5 джоинами без особых усилий ,на хибере я даже наверно не буду пытаться а просто сделаю дто с нужными полями и маппер,который будет вытаскиввать нужные значения с разных таблиц и ставить куда надо-собственно этот подход сейчас юзается много где,например весь кредит ГПБ на этой архитектуре построен
10 ноя 20, 23:46    [22229884]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
петро я не начальник компании)
мы вроде не зарплату обсуждаем а технические вещи

Zzz79
нужен жук
не знаю такого

Zzz79
ОРМ ты не прав в корне,на счет хибера согласен
крутое у тебя образование, если учесть что хибер это реализация ОРМ

Zzz79
например вот то что мне надо из базы забрать я сделаю 4-5 джоинами без особых усилий ,на хибере я даже наверно не буду пытаться а просто сделаю дто с нужными полями и маппер,который будет вытаскиввать нужные значения с разных таблиц и ставить куда надо-собственно этот подход сейчас юзается много где,например весь кредит ГПБ на этой архитектуре построен

-1
Лапша из технологий.
У тебя не КРЕДИТ. У тебя выгрузка.
Чудак)))
11 ноя 20, 07:08    [22229929]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
Судя по всему,кроме меня с петрушкой тут никто не общается))
11 ноя 20, 15:43    [22230200]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
ОРМ ты не прав в корне,на счет хибера согласен
крутое у тебя образование, если учесть что хибер это реализация ОРМ

[/quot]
ОРМ разные бывают,учи матчасть)
Хибер не подходит конечно под что то более серьезное,чем круд операции,а жук вполне себе могет
11 ноя 20, 15:45    [22230203]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
ОРМ разные бывают,учи матчасть)

Да я вижу как ты Sprung Security в топике осилил.
Ноль на выходе.
Перевел на обсуждение join.
11 ноя 20, 15:55    [22230209]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
Судя по всему,кроме меня с петрушкой тут никто не общается))
ну дак у тебя темы странные.
Начал с того что у вас безопасность пишут в другом отделе и ты ни при делах. Поэтому либу и аутентификации не учил.
Потом о том что клиенты тебе не подвластны.
Потом вдруг поведал что в урл пишут ?логин=вася&пароль=123
Потом прыгнул на join.
И обратно спрыгнул с SQL на JOOQ где нет join и SQL.
Как тебя мотает то))
11 ноя 20, 16:20    [22230229]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp,
у меня мере наступления вопросов)
сейчас у меня очень интересная задача

есть таблица емайл->емайл лист-емайлинг-пул ченел-пул
надо взять из певой таблы пару значений и из последней одно)
при этом одна из связей многие ко многим
11 ноя 20, 18:46    [22230359]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Ты же знаешь, я против бардака в топике техническом.
Заведи топик:"как я живу" и вали все вопросы туда. Даже про курс рубля можно.
11 ноя 20, 18:55    [22230365]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79,
Ты же знаешь, я против бардака в топике техническом.
Заведи топик:"как я живу" и вали все вопросы туда. Даже про курс рубля можно.

если я его заведу,этот форум будет слишком популярен,ибо я очень весело живу)

ПС.призываю в тред хибернет гуру,который скажет мне стоит ли гуглить на предмет осущесвления запроса 5 инер джоинами постредством натив куери,при этом результат должен быть как 2 значения из первой таблицы и одно из последней

я понимаю что хибер так не умеет,он может вернуть там стринг,лонг после джоинов ( он их умеет ) ,но никак не какой то сводный объект
11 ноя 20, 20:15    [22230421]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Все гуру давно высказались - учи SQL. Пригодится.
11 ноя 20, 20:25    [22230426]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79,
Все гуру давно высказались - учи SQL. Пригодится.

давно выучен)
прекрасно вижу как это будет на sql
на хибере такое не возможно к сожалению в один присест сделать- придется походить по 5 репозиториям чтобы получить то что надо
11 ноя 20, 20:52    [22230438]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Ну дак покажи. Ох и любишь болтать.
11 ноя 20, 21:06    [22230447]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79,
Ну дак покажи. Ох и любишь болтать.

что именно)
11 ноя 20, 21:25    [22230455]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79
прекрасно вижу как это будет на sql
вот это
11 ноя 20, 22:57    [22230483]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
PetroNotC Sharp
Member

Откуда:
Сообщений: 6525
Zzz79,
Брат. Когда ты делал цветочный горшок. Ты говорил что Модель не нужна и SQL тоже.
Прошел год.
Модель не знаешь, SQL презираешь, жука ищешь.
В этой теме либу аутентификации не осилил.
11 ноя 20, 23:00    [22230484]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
PetroNotC Sharp
Zzz79
прекрасно вижу как это будет на sql
вот это

сначала напишу что за таблицы
первая таблица ESpace ( группа пользователей) -EUser(пользователь)- EPoll(опрос)-EPollChanell( канал сбора ответов)-EmalingList(список рассылок)-Email( адерсат рассылки)

так вот что нужно сделать вязть Epoll.id , Email.email,Emaile.unsubscrabed_date where Epace.id=12312312312 and Email.unsub=true
что то мне подсказывает что такое сделать не получится наверно
12 ноя 20, 13:09    [22230702]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
mayton
Member

Откуда: loopback
Сообщений: 49768
Шаблон может быть такой. (Я пишу в Оракловом синтаксисе без joins) но их можно всегда добавить.

Тут надо помнить такое правило. Все 6 таблиц должны иметь ключи которые их всех связывают.

Не атрибуты а именно ключи! Иначе будут аномалии задвоения и прочие странные эффекты.

SELECT 
...
FROM
 ESpace s,
 EUser u,
 EPoll p,
 EPollChanell c,
 EmalingList l,
 Email e
WHERE
 ....  


Можешь начать с соединения двух таблиц и потом последовательно добавить третью и т.д.
12 ноя 20, 13:29    [22230717]     Ответить | Цитировать Сообщить модератору
 Re: Api vs Spring Security  [new]
Zzz79
Member

Откуда:
Сообщений: 1007
mayton
Шаблон может быть такой. (Я пишу в Оракловом синтаксисе без joins) но их можно всегда добавить.

Тут надо помнить такое правило. Все 6 таблиц должны иметь ключи которые их всех связывают.

Не атрибуты а именно ключи! Иначе будут аномалии задвоения и прочие странные эффекты.

SELECT 
...
FROM
 ESpace s,
 EUser u,
 EPoll p,
 EPollChanell c,
 EmalingList l,
 Email e
WHERE
 ....  


Можешь начать с соединения двух таблиц и потом последовательно добавить третью и т.д.

заходи в новую тему
12 ноя 20, 13:50    [22230730]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: 1 2 3 4 5      [все]
Все форумы / Java Ответить