Рубрика «jwt»

в 6:47, , рубрики: base64, basic-auth, jwt, jwt auth, keycloak, python

Эта статья будет интересна тем, кто особо не заморачивался, как устроена авторизация в бекенде, но хочет очень быстро въехать в тему. Мы не будем погружаться в самые недры реализации, но точно поймем как это работает и как прикрутить это на практике. Я буду использовать python и FastAPI, просто потому что так проще показать, но эти подходы работают и для других языков/фреймворков.

Это топ видов авторизации по API для бекенд сервисов. Конечно есть еще варианты, но эти - основа, которая встречается в 99% случаев.

Что будет в этой статье дальше

в 15:29, , рубрики: docker, github actions, Go, gpt-4, jwt, kotlin, pet-project, WebSocket

Меня зовут Артём, я занимаюсь коммерческой разработкой с 2019 года. Последние несколько лет я активно использовал Spring Boot для создания backend-сервисов на Java и Kotlin.

Но в какой-то момент захотелось попробовать что-то новое. Не потому что Spring надоел, а просто чтобы выйти из зоны комфорта и узнать, как чувствует себя проект на другом языке. Я решил: возьму уже начатый pet-проект, перепишу его на Go — и посмотрю, как изменится подход, скорость разработки, ощущения.

Читать полностью »

в 6:16, , рубрики: cookies, jwt, session, Sessions, system design, web developement

К сожалению, в последнее время всё больше и больше людей советуют использовать JWT для управления пользовательскими сессиями в веб-приложениях. Это ужасная, ужасная идея, и в этом посте я объясню, почему.

Чтобы избежать недопонимания, я введу термины:

  • Stateless JWT – Токен JWT, который содержит сессионные данные, вшитые непосредственно в этот токен.

  • Stateful JWT – Токен JWT, который содержит лишь идентификатор сессии. Сессионные данные хранятся при этом на сервере.

  • Читать полностью »

в 16:15, , рубрики: AuthenticationalPrinciple, AuthUser, java, jwt, security, spring

Дисклеймер: это вторая попытка написать статью по этой теме, на первой меня закибербулили, в комментариях я получил много аргументированной критики и советов. Пришло время совершать работу на ошибками. Хочу заметить, что я не сеньор с 20 летним стажем, а джунчик обыкновенный, поэтому если мои ошибки цепляют вас за живое, пожалуйста, оставьте комментарий с подсказкой, что можно улучшить, опять же, я всего лишь рассказываю о своем опыте.

Читать полностью »

в 15:15, , рубрики: api, JSON Web Token, jwt, jwt auth, redis, refresh-токены, сессии

в 15:15, , рубрики: django, jwt, jwt token, React, web-разработка, авторизация пользователя, безопасность веб-приложений, веб-приложения, джанго

Привет! Статья в первую очередь была прежде всего написана для самого себя с целью запоминания интересного опыта по реализации кастомных костылей авторизации с помощью JWT-токенов, находящихся в куки.

В качестве бекенда был выбран горячо любимый Django Rest Framework, в качестве фронтовой части в моем случае использовался React. Начну с реализации серверной стороны. Я пропущу шаги по настройке Django REST Framework в связке с React. В Django в моем случае в качестве приложения для аутентификации пользователей было создано приложение user.

В качестве базы JWT-токенов взял библиотеку Simple JWTЧитать полностью »

в 8:15, , рубрики: fastapi, jwt, jwt auth, python, React

В создании своих pet проектов у многих возникает вопрос аутентификации пользователя. Это может быть связано с персональным отображением страниц, настройки доступа и т.д.

В этой статье я хочу показать мое решение вопроса. Сразу скажу, что оно может быть не идеальным, могут быть другие варианты решения, но, мне кажется, для pet проекта, а может и больше этого вполне достаточно.

Что будем использовать?

Я решил поэкспериментировать с JWT (JSON web token) токеном, так как его не нужно хранить в базе или где то на сервере, это упрощает архитектуру приложения.

Для работы нам необходимо установить PyJWT

pip install pyjwtЧитать полностью »

в 20:16, , рубрики: auth, authorization, jwt

О чем эта статья: мы разберемся, что такое JSON Web Token, как он устроен и для чего используется, рассмотрим такие приемы, как «black-list токенов» и «контроль версий» токенов. Для наглядности, в конце будут блок-схемы клиент-серверных запросов с пояснениями.

Для кого эта статья: для тех, кто хочет детально понять что такое JWT, а так же для тех, кто просто ищет схему реализации.

Термины

  • Идентификация — процесс получения идентификатора пользователя: логин / e-mail /id

  • Аутентификация — подтверждение личности пользователя (с помощью пароля, отпечатка пальца, и т.п.)

  • Читать полностью »

в 18:37, , рубрики: api, devops, haproxy, jwt, Lua, Серверная оптимизация

Сервер Haproxy имеет встроенные средства для выполнения скриптов Lua.Язык программирования Lua для расширения возможностей различных серверов используется очень широко. Например, на Lua можно программировать для серверов Redis, Nginx (nginx-extras, openresty), Envoy. Это вполне закономерно, так как язык программирования Lua как раз и был разработан для удобства встраивания в приложения в качестве скриптового языка.В этом сообщении я рассмотрю варианты использования Lua для расширения возможностей Haproxy.Читать полностью »

в 11:28, , рубрики: devops, Git, gitlab ci, integration, jwt, security, Vault, Блог компании Nixys, информационная безопасность

Доброго времени суток, читатель!

22 апреля в GitLab выпустили релиз 12.10 и сообщили о том, что теперь CI-процесс может авторизовываться в Hashicorp's Vault через JSON Web Token (JWT), и для авторизации нет необходимости хранить токен для доступа к нужным policy в переменных окружения (или где-либо ещё).

Аутентификация и чтение секретов в HashiCorp's Vault через GitLab CI - 1

Данная фича показалась нам полезной, поэтому предлагаем перевод соотвествующего туториала из официальной документации GitLab:

Читать полностью »

123
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js