Крик души

Ion Tichy · Post by **Ion Tichy** » 16 May 2021 19:12

ie wrote: ↑16 May 2021 14:52
iDesperado wrote: ↑16 May 2021 14:50
ie wrote: ↑16 May 2021 14:40 а как вы будете защищать api не передовая логин инфо?
научите... правда интересно.
речь про урл, а не передачу. обычный пост по защищенному https дает достаточно гарантий.
так как передовать то? куда складывют пароли нармальные пасаны респектфул девелоперы?

The HTTP Authorization request header... ? Я угадал?

Flash-04 · Post by **Flash-04** » 16 May 2021 19:15

По URL похоже API. Для них обычно ключи выдают, которые уже могут передаваться по разному. Например в полях HTTP запроса.

Ion Tichy · Post by **Ion Tichy** » 16 May 2021 19:26

Flash-04 wrote: ↑16 May 2021 19:11 Хм, ну не делают так, даже с https.
Credentials передают в POST.
Почему? Очень просто: сейчас, любая уважающая себя организация держит логи. При таком подходе в них будут все пароли пользователей, а это недопустимо.
В моей практике был случай, когда в логах было даже содержимое POST запросов. После указания на этот факт, их перестали записывать.

Уточните пжста - логи чего? Что по проводам идет? SQL queries с параметрами и результатами? Что, скажем, JBoss на уровне TRACE пишет? Всего отовсюду?

Flash-04 · Post by **Flash-04** » 16 May 2021 19:34

Логи веб приложения, логи веб сервера. И таки да, всего.

Dmitry67 · Post by **Dmitry67** » 16 May 2021 19:42

Я вынес два урока
Впрочем, это было повторение пройденного
1. Услуги senior дешевле услуг junior
2. В ТЗ надо вставлять строку: Особенно важна переменная noSilent. Если исполнитель придет и спросит - WTF? то все хорошо. А если вопросов по ТЗ не возникло, то надо насторожиться

Ion Tichy · Post by **Ion Tichy** » 16 May 2021 19:53

Flash-04 wrote: ↑16 May 2021 19:34 Логи веб приложения, логи веб сервера. И таки да, всего.

И там попался логин/пароль юзера? Афигеть... Сами писАли или купили?

Как у нас:
1. Юзерами заведует редхатовский keycloak
2. Javascript в браузере хочет гет или пост что-то с/на апи сервер
2a. Вызывает keycloak со своими кредами - "дай мне jwt токен". Если креды ОК - токен выдан, жизнь токена - фью минутс. Логин/пароль можно подсмотреть или непосредственно в баузере или в нигде. Даже при макс.детальном уровле логов keycloak-а пароль никогда keycloak-ом не логгится.
2б. Пост/гет/пут/вотэва на апи сервер передавая токен в аутхоризатион хедере запроса.
3. У сервера приложений (в нашем случае - спрингбоот или шилдфлы) установлен keycloak адаптер, так что на серверной стороне аутентичност-авторизация юзера совершенно не забота девелопера. Девелопер лишь может опционально указать, какие юзерские роли требются для вызова того или иного сервиса апи.

Все. Ни в каком логе креды юзера не появятся никогда.

Теперь Дмитрию: если Вы чиста бэкенд чел и Вам надо показать свою работу - postman Вам в руки.

iDesperado · Post by **iDesperado** » 16 May 2021 20:40

Ion Tichy wrote: ↑16 May 2021 19:53 2a. Вызывает keycloak со своими кредами - "дай мне jwt токен".

это же тот же хттп пост.

Ion Tichy · Post by **Ion Tichy** » 16 May 2021 20:43

iDesperado wrote: ↑16 May 2021 20:40
Ion Tichy wrote: ↑16 May 2021 19:53 2a. Вызывает keycloak со своими кредами - "дай мне jwt токен".
это же тот же хттп пост.

Креды передаются по хттпс в... Не помню в где - то ли в хедере, то ли в боди. Но 200% не в УРЛ. И хттпс достаточен для защиты от любопытных глазок.

dama123 · Post by **dama123** » 16 May 2021 21:47

Ion Tichy wrote: ↑16 May 2021 20:43
iDesperado wrote: ↑16 May 2021 20:40
Ion Tichy wrote: ↑16 May 2021 19:53 2a. Вызывает keycloak со своими кредами - "дай мне jwt токен".
это же тот же хттп пост.
Креды передаются по хттпс в... Не помню в где - то ли в хедере, то ли в боди. Но 200% не в УРЛ. И хттпс достаточен для защиты от любопытных глазок.

Разница между header/body и url только в том что url , как уже было замечено часто пишется в лог. Причем не обязательно вами , а, например, CDN, который часто используется как засшита от DDOS. Но в принципе ничего не мешает какому-нибудь CloudFlare писать в лог и body/header.

https шифрует все, включая url. Проблема только в том, что https обычно terminate в CDN, так что они все равно все видят.

mister-X · Post by **mister-X** » 17 May 2021 01:19

Зачем колесо придумывать, SAML, OAUTH 2, Open ID connect вам в помощь.

Flash-04 · Post by **Flash-04** » 17 May 2021 12:57

Ion Tichy wrote:
Flash-04 wrote: ↑16 May 2021 19:34 Логи веб приложения, логи веб сервера. И таки да, всего.
И там попался логин/пароль юзера? Афигеть... Сами писАли или купили?
.

Вы разве спрашивали не про то, какие логи собираются? Вот на такой вопрос я и ответил

Palych · Post by **Palych** » 17 May 2021 19:42

Dmitry67 wrote: ↑16 May 2021 19:42 Я вынес два урока
Впрочем, это было повторение пройденного
1. Услуги senior дешевле услуг junior
2. В ТЗ надо вставлять строку: Особенно важна переменная noSilent. Если исполнитель придет и спросит - WTF? то все хорошо. А если вопросов по ТЗ не возникло, то надо насторожиться

Осмелюсь предложить такую формулировку:
Если в команде нет Seniorов, которые на основании опыта скажут juniorам не только что делать, но и как - эту роль должен взять на себя заказчик.
Причем нужно указать не протоколы (https, oauth2, ...), а инструменты: Spring Security, etc.
Иначе роль seniors возьмёт на себя энтропия интернета: что выскочит в первых строках поисковика - то и будет copy/pasted.

Привет

Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души

Re: Крик души