Привет, проблема терминов актуальна как никогда, спасибо за замечание 😬
Действительно, IDM решил бы большую часть проблем, и он есть в банке, но в контексте наших задач, к сожалению, применить его возможности не было.
По поводу 8693 - это next step, на данный момент подход из статьи был более быстрым и "дешёвым" решением для старта, при этом удовлетворяя всем основным требованиям.
По поводу Redis - та же проблема с терминами, спасибо, что подсветили.
Действительно, редис используем только как blacklist для JTI-ек, остальное сервисы делают на своей стороне.
(Хотя в статье и выделено):
То, к чему мы хотим прийти, — это когда сервис аутентификации ходит только в свою БД и в Redis.
Привет! Не совсем тебя понял, но из того что понял - не со всем согласен)
Смотри, по порядку:
НЕ каждый запрос, только "привилегированные" запросы идут напрямую в базу. Ты же не можешь доверить, образно, выдачу админ прав, токену (даже 15 минутному), в котором может быть устаревшая роль. Их, по факту, меньшее количество (процентов 5-10 от всего количества запросов)
Про аннулирование токена - тут стоит смотреть с точки зрения не только чистого клиента. Токен у пользователя могут скоммуниздить скомпрометировать, и это выливается в проблему, на те же 15 минут, but
По разделению токена: возможно это хороший совет, но из того что я вижу сразу - токенов становится больше, соответственно, их тяжелее контролировать (как со стороны клиента, так и со стороны сервера).
Привет, проблема терминов актуальна как никогда, спасибо за замечание 😬
Действительно, IDM решил бы большую часть проблем, и он есть в банке, но в контексте наших задач, к сожалению, применить его возможности не было.
По поводу 8693 - это next step, на данный момент подход из статьи был более быстрым и "дешёвым" решением для старта, при этом удовлетворяя всем основным требованиям.
По поводу Redis - та же проблема с терминами, спасибо, что подсветили.
Действительно, редис используем только как blacklist для JTI-ек, остальное сервисы делают на своей стороне.
(Хотя в статье и выделено):
Привет! Не совсем тебя понял, но из того что понял - не со всем согласен)
Смотри, по порядку:
НЕ каждый запрос, только "привилегированные" запросы идут напрямую в базу. Ты же не можешь доверить, образно, выдачу админ прав, токену (даже 15 минутному), в котором может быть устаревшая роль. Их, по факту, меньшее количество (процентов 5-10 от всего количества запросов)
Про аннулирование токена - тут стоит смотреть с точки зрения не только чистого клиента. Токен у пользователя могут
скоммуниздитьскомпрометировать, и это выливается в проблему, на те же 15 минут, butПо разделению токена: возможно это хороший совет, но из того что я вижу сразу - токенов становится больше, соответственно, их тяжелее контролировать (как со стороны клиента, так и со стороны сервера).