Крик души

[Ion Tichy]

Логи веб приложения, логи веб сервера. И таки да, всего.

И там попался логин/пароль юзера? Афигеть... Сами писАли или купили?

Как у нас:
1. Юзерами заведует редхатовский keycloak
2. Javascript в браузере хочет гет или пост что-то с/на апи сервер
2a. Вызывает keycloak со своими кредами - "дай мне jwt токен". Если креды ОК - токен выдан, жизнь токена - фью минутс. Логин/пароль можно подсмотреть или непосредственно в баузере или в нигде. Даже при макс.детальном уровле логов keycloak-а пароль никогда keycloak-ом не логгится.
2б. Пост/гет/пут/вотэва на апи сервер передавая токен в аутхоризатион хедере запроса.
3. У сервера приложений (в нашем случае - спрингбоот или шилдфлы) установлен keycloak адаптер, так что на серверной стороне аутентичност-авторизация юзера совершенно не забота девелопера. Девелопер лишь может опционально указать, какие юзерские роли требются для вызова того или иного сервиса апи.

Все. Ни в каком логе креды юзера не появятся никогда.

Теперь Дмитрию: если Вы чиста бэкенд чел и Вам надо показать свою работу - postman Вам в руки.

[iDesperado]

2a. Вызывает keycloak со своими кредами - "дай мне jwt токен".

это же тот же хттп пост.

[Ion Tichy]

2a. Вызывает keycloak со своими кредами - "дай мне jwt токен".

это же тот же хттп пост.

Креды передаются по хттпс в... Не помню в где - то ли в хедере, то ли в боди. Но 200% не в УРЛ. И хттпс достаточен для защиты от любопытных глазок.

[dama123]

2a. Вызывает keycloak со своими кредами - "дай мне jwt токен".

это же тот же хттп пост.

Креды передаются по хттпс в... Не помню в где - то ли в хедере, то ли в боди. Но 200% не в УРЛ. И хттпс достаточен для защиты от любопытных глазок.

Разница между header/body и url только в том что url , как уже было замечено часто пишется в лог. Причем не обязательно вами , а, например, CDN, который часто используется как засшита от DDOS. Но в принципе ничего не мешает какому-нибудь CloudFlare писать в лог и body/header.

https шифрует все, включая url. Проблема только в том, что https обычно terminate в CDN, так что они все равно все видят.

[mister-X]

Зачем колесо придумывать, SAML, OAUTH 2, Open ID connect вам в помощь.

[Flash-04]

Логи веб приложения, логи веб сервера. И таки да, всего.

И там попался логин/пароль юзера? Афигеть... Сами писАли или купили?
.

Вы разве спрашивали не про то, какие логи собираются? Вот на такой вопрос я и ответил

[Palych]

Я вынес два урока
Впрочем, это было повторение пройденного
1. Услуги senior дешевле услуг junior
2. В ТЗ надо вставлять строку: Особенно важна переменная noSilent. Если исполнитель придет и спросит - WTF? то все хорошо. А если вопросов по ТЗ не возникло, то надо насторожиться

Осмелюсь предложить такую формулировку:
Если в команде нет Seniorов, которые на основании опыта скажут juniorам не только что делать, но и как - эту роль должен взять на себя заказчик.
Причем нужно указать не протоколы (https, oauth2, ...), а инструменты: Spring Security, etc.
Иначе роль seniors возьмёт на себя энтропия интернета: что выскочит в первых строках поисковика - то и будет copy/pasted.