Les pisseurs de code, on fait l'appel

Le 26 janvier 2021 à 14:32:42 Contravariance a écrit :

Le 26 janvier 2021 à 14:29:21 SecEtPasNerveux a écrit :
Du coup je bosse sur un projet perso j'ai payé un graphiste et tout hâte de pouvoir attaquer le côté front

J'aurais bien voulu faire une authentification solide mais je crois que je vais rester sur les classiques JWT vu que rien n'a l'air de correspondre à mon besoin

C'est quoi le problème des JWT ?

Tu fais un formulaire front classique qui génère un token JWT (certaines solutions comme keycloak intègrent des mires de login) et tu communiques ce token côté API pour avoir un backend scalable et éviter le sticky session.

Oui oui je connais bien, mais la durée de vie courte des JWT (par convention/sécurité) détériore l'UX je trouve. Relou de devoir se reconnecter à chaque fois

J'ai déjà mit en place du keycloak c'est ultra efficace mais le templating de la mire de login est une horreur + pas de js dessus donc bon.

Le 26 janvier 2021 à 14:36:37 SecEtPasNerveux a écrit :

Le 26 janvier 2021 à 14:32:42 Contravariance a écrit :

Le 26 janvier 2021 à 14:29:21 SecEtPasNerveux a écrit :
Du coup je bosse sur un projet perso j'ai payé un graphiste et tout hâte de pouvoir attaquer le côté front

J'aurais bien voulu faire une authentification solide mais je crois que je vais rester sur les classiques JWT vu que rien n'a l'air de correspondre à mon besoin

C'est quoi le problème des JWT ?

Tu fais un formulaire front classique qui génère un token JWT (certaines solutions comme keycloak intègrent des mires de login) et tu communiques ce token côté API pour avoir un backend scalable et éviter le sticky session.

Oui oui je connais bien, mais la durée de vie courte des JWT (par convention/sécurité) détériore l'UX je trouve. Relou de devoir se reconnecter à chaque fois

J'ai déjà mit en place du keycloak c'est ultra efficace mais le templating de la mire de login est une horreur + pas de js dessus donc bon.

La durée de vie du JWT est entièrement configurable. Si c'est bien géré par exemple via l'oAuth2 il y a un refresh token qui est appelé donc pas de connexion/deconnexion intempestive.

Pour l'avoir utilisé sur plusieurs gros sites c'est plutôt efficace.

Concernant la mire de login, c'est la solution recommandée. Mais tu peux aussi faire un appel server-to-server (direct access grants) et faire ton formulaire custom.

Le 26 janvier 2021 à 14:38:21 Contravariance a écrit :

Le 26 janvier 2021 à 14:36:37 SecEtPasNerveux a écrit :

Le 26 janvier 2021 à 14:32:42 Contravariance a écrit :

Le 26 janvier 2021 à 14:29:21 SecEtPasNerveux a écrit :
Du coup je bosse sur un projet perso j'ai payé un graphiste et tout hâte de pouvoir attaquer le côté front

J'aurais bien voulu faire une authentification solide mais je crois que je vais rester sur les classiques JWT vu que rien n'a l'air de correspondre à mon besoin

C'est quoi le problème des JWT ?

Tu fais un formulaire front classique qui génère un token JWT (certaines solutions comme keycloak intègrent des mires de login) et tu communiques ce token côté API pour avoir un backend scalable et éviter le sticky session.

Oui oui je connais bien, mais la durée de vie courte des JWT (par convention/sécurité) détériore l'UX je trouve. Relou de devoir se reconnecter à chaque fois

J'ai déjà mit en place du keycloak c'est ultra efficace mais le templating de la mire de login est une horreur + pas de js dessus donc bon.

La durée de vie du JWT est entièrement configurable. Si c'est bien géré par exemple via l'oAuth2 il y a un refresh token qui est appelé donc pas de connexion/deconnexion intempestive.

Pour l'avoir utilisé sur plusieurs gros sites c'est plutôt efficace.

Oauth2 le faire soi même c'est vraiment chiant/pas safe et je trouve pas de bons providers.

Oui les refresh token sont une solution, j'avais pas pu le mettre en place la dernière fois car y'a pas d'intercepteurs nativement en Vue et du coup bah c'était la merde pour chopper les 401.

Après Keycloak sur un projet perso ça demande aussi d'avoir la machine derrière, cette merde pèse une couille

Le 26 janvier 2021 à 14:41:54 SecEtPasNerveux a écrit :

Le 26 janvier 2021 à 14:38:21 Contravariance a écrit :

Le 26 janvier 2021 à 14:36:37 SecEtPasNerveux a écrit :

Le 26 janvier 2021 à 14:32:42 Contravariance a écrit :

Le 26 janvier 2021 à 14:29:21 SecEtPasNerveux a écrit :
Du coup je bosse sur un projet perso j'ai payé un graphiste et tout hâte de pouvoir attaquer le côté front

J'aurais bien voulu faire une authentification solide mais je crois que je vais rester sur les classiques JWT vu que rien n'a l'air de correspondre à mon besoin

C'est quoi le problème des JWT ?

Tu fais un formulaire front classique qui génère un token JWT (certaines solutions comme keycloak intègrent des mires de login) et tu communiques ce token côté API pour avoir un backend scalable et éviter le sticky session.

Oui oui je connais bien, mais la durée de vie courte des JWT (par convention/sécurité) détériore l'UX je trouve. Relou de devoir se reconnecter à chaque fois

J'ai déjà mit en place du keycloak c'est ultra efficace mais le templating de la mire de login est une horreur + pas de js dessus donc bon.

La durée de vie du JWT est entièrement configurable. Si c'est bien géré par exemple via l'oAuth2 il y a un refresh token qui est appelé donc pas de connexion/deconnexion intempestive.

Pour l'avoir utilisé sur plusieurs gros sites c'est plutôt efficace.

Oauth2 le faire soi même c'est vraiment chiant/pas safe et je trouve pas de bons providers.

Oui les refresh token sont une solution, j'avais pas pu le mettre en place la dernière fois car y'a pas d'intercepteurs nativement en Vue et du coup bah c'était la merde pour chopper les 401.

J'ai pas parlé de faire du Oauth2 soit-même, y'a des tas de librairies qui le gèrent. Keycloak par exemple (qui implémente OIDC) a beaucoup d'adapters pour la majorité des frameworks java. Tout ceci est maintenu par keycloak.

Côté front ça se fait aussi. Je bosse sur un projet avec Vue + keycloak.

je vais devenir fou je vous jure

Aya j'ai mon collègue qui me balance 4 incidents dans la gueule d'un coup

intellij idea, jpa, pgsql

jwtproperties, migrationproperties citez moi d'autres files où j'aurais pu laisser trainer des logs de connexion à une db

pls, je vais imploser

putain et y'a pas de grep sur windows ? aled

ok j'ai trouvé je crois

un token de merde dans la partie cliente, putain j'allais devenir fou

monologue

j'ai mis à jour le README d'un projet (POC) pour refiler ça à qqn d'autre, comment se déresponsabiliser en mettant en place qqc qui s'avère facile à utiliser

Je vais pouvoir faire mon refactoring tranquille sur mes projets

pire que GoT ta vie

Le 26 janvier 2021 à 15:16:03 cuteTako a écrit :
pire que GoT ta vie

Avec l'expérience, tu bosses sur les trucs techniques / POC, et dès que ça fonctionne tu refiles le bébé.
Moins tu as d'intéraction avec les PO/métier et la prod, et moins tu as d'emmerdes

vous avez deja taffe en remote desktop sur intellij ? ma touche ctrl n'y fonctionne pas à tous les coups

Le 26 janvier 2021 à 15:21:29 Contravariance a écrit :

Le 26 janvier 2021 à 15:16:03 cuteTako a écrit :
pire que GoT ta vie

Avec l'expérience, tu bosses sur les trucs techniques / POC, et dès que ça fonctionne tu refiles le bébé.
Moins tu as d'intéraction avec les PO/métier et la prod, et moins tu as d'emmerdes

Si ton POC est validé ça part direct en prod on t'a dit !

Le 26 janvier 2021 à 15:29:54 khey_a_molette a écrit :

Le 26 janvier 2021 à 15:21:29 Contravariance a écrit :

Le 26 janvier 2021 à 15:16:03 cuteTako a écrit :
pire que GoT ta vie

Avec l'expérience, tu bosses sur les trucs techniques / POC, et dès que ça fonctionne tu refiles le bébé.
Moins tu as d'intéraction avec les PO/métier et la prod, et moins tu as d'emmerdes

Si ton POC est validé ça part direct en prod on t'a dit !

Les fameux POC-prod

https://soundcloud.com/marcromboy/stephan-bodzin-marc-romboy-b2b-running-wild-village-underground-london-131214 à 56 min <3