Ale
jwt и stateless сессии, нужны если у вас прям много микросервисов
Ale
чтобы не тратить время на ходьбу к авторизационному сервису
Vladimir
Микросервисы не имеют отношения к этому
Vladimir
Ну сколько можно повторять
Vladimir
Микросервисы - это реализация бэкэнда
Ale
ну я согласен
Vladimir
Фронтэнд не обращается к микросервисам напрямую
Ale
да
Ale
ну точнее он про это не знает
Vladimir
А jwt это вообще не нужная вещь
Ale
может и обращается
Ale
но ему должно быть все равно
Vladimir
Фронтэнд обращается к gateway
Ale
у тебя необязательно должен быть фронт-сервис, который все форвардит
D
jwt и stateless сессии, нужны если у вас прям много микросервисов
а кто говорил про стейтлесс сессии?
Ale
нет
Ale
ну зачем?
Vladimir
Потому что есть вещи, которые нужно сделать на входе с каждым запросом
D
мне как раз нужно запоминать юзера, у меня не REST API а обычное SPA
Ale
а кто говорил про стейтлесс сессии?
если вы всю нужную инфу про сессию храните в токене или там в куке и гоняете ее, то она стейтлес, не?
Vladimir
Сессия не бывает стейтлесс
Vladimir
Сессия это и есть стейт
D
согласен
D
хочется спросить тогда а что тогда стейтфул сессии
Ale
т.е. естественно она где-то хранится
Vladimir
Ну это назвается токен, обычно
Ale
хочется спросить тогда а что тогда стейтфул сессии
передаем токен, а бекенд по токену находит в базе инфу
Ale
или в памяти
Ale
т.е. либо вся инфа зашита в токен
Vladimir
А, ты имеешь в виду наоброт
Ale
либо по токену можно инфу получить
D
окей понял тебя
Ale
первое стейтлес, второе стейтфул
Vladimir
В jwt смысла вообще никакого нет
Vladimir
Тоже самое что куки: только хуже с безопасностью
Ale
он нужен очень редко
Vladimir
Что он дает по сравнению с куками?
Dmitrii
jwt гут когда сервис чисто внутренний и можно забить на безопастность
Vladimir
Логгирование, авторизация, метрки
Vladimir
Куки это способ хранения чего угодно
Ale
Логгирование, авторизация, метрки
авторизация в разные сервисы по-разному идет, логирование соответственно тоже
Vladimir
Нет, это неправильно
Ale
ну в смысле, в разные сервисы разные вещи ходят
Vladimir
Если это разные сервисы, то ты делаешь много разных сервисов, не связанных между собой
Ale
где-то нам нужен токен пользователя, где-то вообще девайса и пользователя, где-то только девайса
D
ребят, итого - есть какие-то реальные минусы менеджить сессию через куки?
Vladimir
Когда у тебя твое апи сделано в виде разных сервисов - это фейл сразу
Ale
Если это разные сервисы, то ты делаешь много разных сервисов, не связанных между собой
они все равно связаны, просто eventually
D
и еще вопрос, кто-нибудь юзал https://github.com/simov/grant ?
Vladimir
В общем, все что традиционно называется микросервисной архитектурой, подразумевает единый gateway
Ale
если ты поделил на выделенные контексты в рамках которых ходят транзакции, то вполне удобно
Ale
В общем, все что традиционно называется микросервисной архитектурой, подразумевает единый gateway
ага, чтоб это было не просто базвордом, а прям подходом, было бы хорошо)
Vladimir
Это абсолютно не имеет к микросервисам отношения, это что то другое, про что я никогда не слышал
Vladimir
Микросервисы всегда имеют единый gateway, в первую очередь по тому, что к микросервисам обычно идут от монолита
Vladimir
Постопенно монолит превращается в gateway
Ale
Микросервисы всегда имеют единый gateway, в первую очередь по тому, что к микросервисам обычно идут от монолита
этот единый gateway может быть просто nginx, в котором разные бекенды прописаны
Vladimir
Нет, это приложение
Vladimir
nginx это вообще мелкая деталь инфраструктуры
Ale
да, я про это же
D
смотрите вопрос
D
вот я авторизовался через твиттер
D
мне вот такое приходит
D
D
не пойму что мне с этим делать
D
зачем нужен аксесс токен
D
и аксесс сикрет
Dmitry
Юзай токен что бы слать запросы на твиттер
D
а если мне не нужно слать запросы на твиттер, мне просто надо чтобы люди могли залогиниться
D
через твиттер