Les pisseurs de code, on fait l'appel
Supprimé
Le 26 janvier 2021 à 14:32:42 Contravariance a écrit :
Le 26 janvier 2021 à 14:29:21 SecEtPasNerveux a écrit :
Du coup je bosse sur un projet perso j'ai payé un graphiste et tout hâte de pouvoir attaquer le côté frontJ'aurais bien voulu faire une authentification solide mais je crois que je vais rester sur les classiques JWT vu que rien n'a l'air de correspondre à mon besoin
C'est quoi le problème des JWT ?
Tu fais un formulaire front classique qui génère un token JWT (certaines solutions comme keycloak intègrent des mires de login) et tu communiques ce token côté API pour avoir un backend scalable et éviter le sticky session.
Oui oui je connais bien, mais la durée de vie courte des JWT (par convention/sécurité) détériore l'UX je trouve. Relou de devoir se reconnecter à chaque fois
J'ai déjà mit en place du keycloak c'est ultra efficace mais le templating de la mire de login est une horreur + pas de js dessus donc bon.
Le 26 janvier 2021 à 14:36:37 SecEtPasNerveux a écrit :
Le 26 janvier 2021 à 14:32:42 Contravariance a écrit :
Le 26 janvier 2021 à 14:29:21 SecEtPasNerveux a écrit :
Du coup je bosse sur un projet perso j'ai payé un graphiste et tout hâte de pouvoir attaquer le côté frontJ'aurais bien voulu faire une authentification solide mais je crois que je vais rester sur les classiques JWT vu que rien n'a l'air de correspondre à mon besoin
C'est quoi le problème des JWT ?
Tu fais un formulaire front classique qui génère un token JWT (certaines solutions comme keycloak intègrent des mires de login) et tu communiques ce token côté API pour avoir un backend scalable et éviter le sticky session.
Oui oui je connais bien, mais la durée de vie courte des JWT (par convention/sécurité) détériore l'UX je trouve. Relou de devoir se reconnecter à chaque fois
J'ai déjà mit en place du keycloak c'est ultra efficace mais le templating de la mire de login est une horreur + pas de js dessus donc bon.
La durée de vie du JWT est entièrement configurable. Si c'est bien géré par exemple via l'oAuth2 il y a un refresh token qui est appelé donc pas de connexion/deconnexion intempestive.
Pour l'avoir utilisé sur plusieurs gros sites c'est plutôt efficace.
Concernant la mire de login, c'est la solution recommandée. Mais tu peux aussi faire un appel server-to-server (direct access grants) et faire ton formulaire custom.
Le 26 janvier 2021 à 14:38:21 Contravariance a écrit :
Le 26 janvier 2021 à 14:36:37 SecEtPasNerveux a écrit :
Le 26 janvier 2021 à 14:32:42 Contravariance a écrit :
Le 26 janvier 2021 à 14:29:21 SecEtPasNerveux a écrit :
Du coup je bosse sur un projet perso j'ai payé un graphiste et tout hâte de pouvoir attaquer le côté frontJ'aurais bien voulu faire une authentification solide mais je crois que je vais rester sur les classiques JWT vu que rien n'a l'air de correspondre à mon besoin
C'est quoi le problème des JWT ?
Tu fais un formulaire front classique qui génère un token JWT (certaines solutions comme keycloak intègrent des mires de login) et tu communiques ce token côté API pour avoir un backend scalable et éviter le sticky session.
Oui oui je connais bien, mais la durée de vie courte des JWT (par convention/sécurité) détériore l'UX je trouve. Relou de devoir se reconnecter à chaque fois
J'ai déjà mit en place du keycloak c'est ultra efficace mais le templating de la mire de login est une horreur + pas de js dessus donc bon.
La durée de vie du JWT est entièrement configurable. Si c'est bien géré par exemple via l'oAuth2 il y a un refresh token qui est appelé donc pas de connexion/deconnexion intempestive.
Pour l'avoir utilisé sur plusieurs gros sites c'est plutôt efficace.
Oauth2 le faire soi même c'est vraiment chiant/pas safe et je trouve pas de bons providers.
Oui les refresh token sont une solution, j'avais pas pu le mettre en place la dernière fois car y'a pas d'intercepteurs nativement en Vue et du coup bah c'était la merde pour chopper les 401.
Le 26 janvier 2021 à 14:41:54 SecEtPasNerveux a écrit :
Le 26 janvier 2021 à 14:38:21 Contravariance a écrit :
Le 26 janvier 2021 à 14:36:37 SecEtPasNerveux a écrit :
Le 26 janvier 2021 à 14:32:42 Contravariance a écrit :
Le 26 janvier 2021 à 14:29:21 SecEtPasNerveux a écrit :
Du coup je bosse sur un projet perso j'ai payé un graphiste et tout hâte de pouvoir attaquer le côté frontJ'aurais bien voulu faire une authentification solide mais je crois que je vais rester sur les classiques JWT vu que rien n'a l'air de correspondre à mon besoin
C'est quoi le problème des JWT ?
Tu fais un formulaire front classique qui génère un token JWT (certaines solutions comme keycloak intègrent des mires de login) et tu communiques ce token côté API pour avoir un backend scalable et éviter le sticky session.
Oui oui je connais bien, mais la durée de vie courte des JWT (par convention/sécurité) détériore l'UX je trouve. Relou de devoir se reconnecter à chaque fois
J'ai déjà mit en place du keycloak c'est ultra efficace mais le templating de la mire de login est une horreur + pas de js dessus donc bon.
La durée de vie du JWT est entièrement configurable. Si c'est bien géré par exemple via l'oAuth2 il y a un refresh token qui est appelé donc pas de connexion/deconnexion intempestive.
Pour l'avoir utilisé sur plusieurs gros sites c'est plutôt efficace.
Oauth2 le faire soi même c'est vraiment chiant/pas safe et je trouve pas de bons providers.
Oui les refresh token sont une solution, j'avais pas pu le mettre en place la dernière fois car y'a pas d'intercepteurs nativement en Vue et du coup bah c'était la merde pour chopper les 401.
J'ai pas parlé de faire du Oauth2 soit-même, y'a des tas de librairies qui le gèrent. Keycloak par exemple (qui implémente OIDC) a beaucoup d'adapters pour la majorité des frameworks java. Tout ceci est maintenu par keycloak.
Côté front ça se fait aussi. Je bosse sur un projet avec Vue + keycloak.
j'ai mis à jour le README d'un projet (POC) pour refiler ça à qqn d'autre, comment se déresponsabiliser en mettant en place qqc qui s'avère facile à utiliser
Je vais pouvoir faire mon refactoring tranquille sur mes projets 
Le 26 janvier 2021 à 15:16:03 cuteTako a écrit :
pire que GoT ta vie
Avec l'expérience, tu bosses sur les trucs techniques / POC, et dès que ça fonctionne tu refiles le bébé.
Moins tu as d'intéraction avec les PO/métier et la prod, et moins tu as d'emmerdes
Le 26 janvier 2021 à 15:21:29 Contravariance a écrit :
Le 26 janvier 2021 à 15:16:03 cuteTako a écrit :
pire que GoT ta vieAvec l'expérience, tu bosses sur les trucs techniques / POC, et dès que ça fonctionne tu refiles le bébé.
Moins tu as d'intéraction avec les PO/métier et la prod, et moins tu as d'emmerdes
Si ton POC est validé ça part direct en prod on t'a dit !
Le 26 janvier 2021 à 15:29:54 khey_a_molette a écrit :
Le 26 janvier 2021 à 15:21:29 Contravariance a écrit :
Le 26 janvier 2021 à 15:16:03 cuteTako a écrit :
pire que GoT ta vieAvec l'expérience, tu bosses sur les trucs techniques / POC, et dès que ça fonctionne tu refiles le bébé.
Moins tu as d'intéraction avec les PO/métier et la prod, et moins tu as d'emmerdesSi ton POC est validé ça part direct en prod on t'a dit !
Les fameux POC-prod
Données du topic
- Auteur
- cuteTako
- Date de création
- 19 janvier 2021 à 09:26:22
- Date de suppression
- 31 janvier 2021 à 20:52:52
- Supprimé par
- Modération ou administration
- Nb. messages archivés
- 1590
- Nb. messages JVC
- 1571
JvArchive compagnon