я за андроид не знаю, но думаю там тоже конкуренция, даже при наличии фриланс вакансий

Посоветуйте как лучше защитить публичный rest api? На spring?

конкретнее

Посоветуйте как лучше защитить публичный rest api? На spring?

через spring security

но лучше конкретнее

если просто прикрыть лавку

Spring Security

ну и https

простой пример

ты думаешь задачу не дадут, хоть и индусу, который ее сделает гарантированно за час, а доверят чуваку с 0 billed hours ?

сейчас еще курю замену спринг секьюрити

и это при fixed price

Ну допусти написал сервер, регистрация итп, выложил в гит и найдется умник который зарегает 100500 ботов

Регистрация через апи

тебя питон обидел чем-то?)

питон я люблю. речь идет о том что фрилансить это не так просто как это выглядит

Регистрация через апи

хм, так тебе просто защитить регистрацию?

java Mail + Recaptcha

Рекапча не вариант

Рест апи

тогда просто подтверждение по мылу

Рест апи

Эм, у тебя рестом кто пользоваться будет?

Не только регистрация,

ты темнишь

Но и комменты

давай свои юс кейсы

мы разберем

Эм, у тебя рестом кто пользоваться будет?

Напишу допустим сервер для мобилы

Я через мобилу сижу

Инета нет

так

Trigger based exporting from Neo4J to Postgress - Java 8, Neo4j and Hibernate Hourly - Est. Time: Less than 1 month, Less than 10 hrs/week - Posted 1 day ago We are looking for a Java 8 developer with Neo4j and Hibernate knowledge to create triggers on a Neo4j database to write changes into a PostgreSQL database.

ч.т.д.

И выложу куда нибудь на всеобщее обозрение, сделать так чтобы пользоваться апи могут только те кто имеет доступ или что то подобное

Допустим чтобы получить доступ к ари фейсбука нужна регистрация итп

Потом дается ид

И при атаках могут просто отключить доступ

Ну а так в чём проблема сделать аналогично?

Ну вот и спрашиваю как?

ща

момент

Ну вот и спрашиваю как?

Как сделать генерацию токена?

https://habrahabr.ru/post/245415/

прочитай

Spring security кажись не предоставляет такой возможности

сейчас еще кину одну тему, только сразу скажу, читал только теорию, но коллега говорит, скоро это заменит секьюрити спринг

https://jwt.io/

Spring security кажись не предоставляет такой возможности

http://stackoverflow.com/questions/17126201/spring-security-authentication-via-token

https://jwt.io/

юзал

норм вещь

есть еще OUATH2

просто реализуешь api по их rfc, а лучше ищешь либу которая его реализует

короче, чувак, просто почитай, покопипасти примерчики

и отлично на токенах все работает

потом пробуй свое

и все получится

Это как я плнял просто авторизация

*понял

Это как я плнял просто авторизация

если ее юзать, то неавторизированным посетителям просто хуй

как раз позволит не создать 100500 юзеров

именно

Да знаю я это юзаю

ты на беке сможешь контроллировать кто что делает

питон я люблю. речь идет о том что фрилансить это не так просто как это выглядит

тут не спорю, но в любом случае все начинают с 0 работ, главное пробовать, рано или поздно заказы пойдут

maven: io.jsonwebtoken / jjwt / 0.6.0 самое крутое я так понимаю

даже людям с опытом не так то просто начать фрилансить

Вы про это сейчас писали?

ERROR: S client not available

Фотку грузит

тут не спорю, но в любом случае все начинают с 0 работ, главное пробовать, рано или поздно заказы пойдут

да. но надо же предупреждать новичка что может пройти неделя до первого заказа, а может и несколько месяцев. об этом спор был. чтобы не вводить людей в заблуждение

csrf вырубал, не помню почему. а вообще что-то типа того

да. но надо же предупреждать новичка что может пройти неделя до первого заказа, а может и несколько месяцев. об этом спор был. чтобы не вводить людей в заблуждение

согласен полностью

причем несколько месяцев это более вероятный кейс чем неделя)

Это для пользователей авторизация доступы роли итп

бляяя

Это для пользователей авторизация доступы роли итп

ага

да не только для этого

для чего хочешь

А мне нужен для клиентов

и?

смысл в том, что если нет юзернейма и пасса валидного -> значит нет токена -> а если нет токена, то нет вообще ответа от сервера

Чтобы мог давать кому попало Рест апи

Документацию по апи

да. все верно.

http://security.stackexchange.com/questions/90491/authentication-authorization-in-native-mobile-clients-android

все тоже самое

А тот мог пользоваться только по разрешению админа, пилить клиент итп

на хреновый или expired токен сервер отвечает редиректом на авторизацию вместо контента

А тот мог пользоваться только по разрешению админа, пилить клиент итп

если ты будешь контроллировать создание акков, и даже айпишники с которых они могут авторизироваться, то как раз все будет как ты захочешь. с контолем доступов и остального

http://security.stackexchange.com/questions/90491/authentication-authorization-in-native-mobile-clients-android

username + other data + HMAC(user + data, secret known only to the server)

Ща попробую заново?

:)

вот это другой разговор

дерзай

csrf вырубал, не помню почему. а вообще что-то типа того

Тут до первой работы предлагают пол года подождать

Плюс как бы ты на 1 месяц посмотришь, что части индустрии нужно

Тут до первой работы предлагают пол года подождать

да, чтобы потом гарантированно ее получить

И какие проекты бывают

Тут до первой работы предлагают пол года подождать

где?