Комментарии 5
GSSAPI?! Не, не знаю, да и зачем?
GSSAPI с Kerberos кажется сложнее, чем OAuth2
Ну и OAuth2 кажется, что это уже стандарт дефакто и очень радует что в 18-й версии появилась такая возможность.
GSSAPI - протокол аутентификации, OAuth - протокол авторизации, они в принципе для разных нужд. Если вы принципиально считаете, что OAuth в Postgres не нужен - это можно обсудить с разработчиками Postgres, которые реализуют OAuth в Postgres 18 -
https://www.postgresql.org/message-id/d1b467a78e0e36ed85a09adf979d04cf124a9d4b.camel%40vmware.com
также можно черкануть ребятам из pgAdmin
https://www.pgadmin.org/docs/pgadmin4/development/oauth2.html
OAuth - протокол авторизации,
Я вижу аутентификацию в статье. И никакой авторизации.
Авторизация происходит в валидаторе. В представленном базовом примере авторизация заключается в сравнении, что scope-ы из pg_hba.conf присутствуют в полученном от сервера токене. Значит, мы можем залогиниться в postgres. На значениях scope-ов можно реализовать ещё какую-то логику.
Также токен может содержать и другие поля, на основе которых в валидаторе может быть реализована какая-то логика получения прав.
Авторизация OAuth 2.0 в PostgreSQL на примере Keycloak