В настройках бота не включен инлайн режим /оффтоп

о спс

Здравствуйте, как можно узнать онлайн ли ПК? (включена машина или выключена)

Здравствуйте, как можно узнать онлайн ли ПК? (включена машина или выключена)

Пинг?

Пинг?

Так пингует же маршрутизатор, а не ПК и если маршрутизатор будет включен значит ты онлайн, а я не думаю что кто-то выключает маршрутизатор на ночь

Пинг?

Или я не прав?

Здравствуйте, как можно узнать онлайн ли ПК? (включена машина или выключена)

Посмотреть горит ли светодиод

Так пингует же маршрутизатор, а не ПК и если маршрутизатор будет включен значит ты онлайн, а я не думаю что кто-то выключает маршрутизатор на ночь

Мне кажется вам стоит почитать что-нибудь по сетям

Так пингует же маршрутизатор, а не ПК и если маршрутизатор будет включен значит ты онлайн, а я не думаю что кто-то выключает маршрутизатор на ночь

То есть, пингуете вы в роутер, понятно

https://heroiclabs.com/docs/ Кто то пользовал из чата? Хочу форкнуть чтобы без lua только на go логику писать

hr ?

с какой стати???

www.linkedin.com/in/tatiana-e

Так их!

просто есть мысль или делать питон скрипт управления айпитейблс или на го что то

накой там фаерволом рулить когда достаточно обычного проксирования типа того https://github.com/ros-tel/simple-proxy

iptables будет лучше справляться

зависит от того нужна ли та производительность

не зависит, на самом деле

Здравствуйте, у вас тут принято представляться?

давно уже никто не

Ничего, я как раз только что одну анкету в другом чате заполнил. ▫️У меня несколько проектов, от open-source криптобиржи и open-source криптомагазина до искуственного интеллекта и приложения для выработки привычек. Конкретно сейчас работаю над безблочной криптовалютой. ▫️Специалист-шмециалист. Везде по чуть-чуть: безопасность, web-highload, криптовалюты, медицина и маркетинг. ▫️Польза для сообщества конкрено от меня в генерации идей и корявой их реализации, но если тут есть страждущие помочь — с этим уже можно работать. ▫️Мне интересно получать ответы опытных специалистов в неоднозначных вопросах, а также найти контрибьютеров под некоторые проекты.

Сходу вопрос: как у вас реализована авторизация? Если можно, было бы здорово посмотреть куски кода.

авторизация чего?

Смотрю в статистику чатика: 1692 members. Представил представление от каждого... Собственно, почему бы и нет, само по себе контент)

авторизация чего?

На сайте, конечно. Или в приложении. А какая разница?

есть подозрение, что вы аутентификацию с авторизацией путаете :)

Сам факт того, что я не могу использовать токены для доступа к приложению говорит о том, что мне нужна регистрация + авторизация. По-моему, вне зависимости от типа приложения она реализуется похожим образом. Да-да, вы молодец, я идиот, мне нужна аутентификация.

еще раз

авторизация на большинстве сайтов тривиальная: зашел и видишь все. отдельно авторизуется только личный кабинет

по логину и паролю бывает не авторизация, а аутентификация

:)

устроена она, в общем, двумя способами

или хранение сессии в базе, или JWT-подобные решения

у обоих вариантов есть недостатки

у обоих вариантов есть недостатки

А можно поподробнее? Я знаю только про два: В случае сессий ID этой сессии нужно где-то хранить, как правило в memcached или redis. А в случае JWT... Ну, тут я вообще нуб. Разве что токен нужно обновлять автоматически, да. Но и сессию, кажется, тоже?

в случае jwt у вас нет возможности разлогинить пользователя

пока валиден jwt - позможен вход

А как реализуется обновления токена раз в N минут?

на сайте все просто - на каждый запрос выдаем новый

Т.е. писать middleware, в котором, если токен валидный, то выдать новый? А время обновления токена? Я на стаковерфлоу видел токен со сроком действия 5 минут и периодом обновления 4, но по-моему там несколько иной случай.

ну я делаю так обычно: скользящий ключ, период ротации задается в конфиге

все токены, подписанные невалидным ключем, становятся невалидны автоматически

получается и безопасно достаточно, и автоматический разлогин по неактивности

А если во время пересоздания ключа юзеры находятся на сайте, их выкинет?

в любой момент времени активны два ключа - старый и новый

проверяются оба

Это уже что-то. Пользователь при этом сможет оставаться в системе на двойное время жизни ключа, если он не залогинен во время смены?

на время жизни одного ключа - того, которым подписан его последний токен

подписываются токены всегда новым ключем

ну я делаю так обычно: скользящий ключ, период ротации задается в конфиге

А зачем так сложно? Или у вас это некий аналог рефреш токена?

я не знаю способа проще без хранения сессии в базе

я не знаю способа проще без хранения сессии в базе

А разве jwt это не про проверку токена на каждый запрос (и данных его по базе (или сессии))? Или я что-то путаю?

проверка на каждый запрос, но без базы, криптографически

Ага, спасибо, понял! Всегда добавлял сверху проверку по базе просто, чтобы можно было управлять отзывом ключа)

ну вот да

или хранение сессии в базе, или JWT-подобные решения

У меня сейчас авторизация происходит через отправку токена пользователем при каждом запросе. Этот токен каждый раз проверяется в хэндлерах. Можно ли как то улучшить способ авторизации?

Сам токен привязан к пользователю в БД.

У меня сейчас авторизация происходит через отправку токена пользователем при каждом запросе. Этот токен каждый раз проверяется в хэндлерах. Можно ли как то улучшить способ авторизации?

вы выдаете новый токен после каждого запроса?

Нет

У пользователя есть токен, с которым он совершает все запросы

ааа, все понял, клиент отправляет токен каждый раз) без запятых не правильно проситал)

Кстати, а какие параметры вы передаёте в JWT и почему? Я вот ID для запросов к БД, роль (админ/нет) для доступа к админке, аффилиата для начисления процентов и имя пользователя для отображения, и всё это прямо в токене, без лишнего запроса к БД. А ещё время начала и окончания действия токена.

Кстати, а какие параметры вы передаёте в JWT и почему? Я вот ID для запросов к БД, роль (админ/нет) для доступа к админке, аффилиата для начисления процентов и имя пользователя для отображения, и всё это прямо в токене, без лишнего запроса к БД. А ещё время начала и окончания действия токена.

тут все сугубо субъективно и зависит от конкретной задачи

тут все сугубо субъективно и зависит от конкретной задачи

На стаковерфлоу за такой ответ вряд ли бы проголосовали.

ну а какой ответ вы хотите? скажем есть проект, с множеством платежных мерчантов и пользователи привязываются к ним, у мерчантов есть проценты возгараждения, комиссии и курсы. для данного проекта будет удобно в токен пользователя загрузить всю информацию, которая ему нужна для оперативной работы. а есть другой проект, скажем бложик, где есть только пользователь без нагромаждения доп. сущностей, там соответственно будет более чем достаточно передачи в токене ID пользователя + какого-то текстового поля для отображения на фронте. формулируйте вопрос как можно более конкретно иначе будете получать ответы за которые бы на стековерфлоу не проголосовали бы)))

Кстати, а какие параметры вы передаёте в JWT и почему? Я вот ID для запросов к БД, роль (админ/нет) для доступа к админке, аффилиата для начисления процентов и имя пользователя для отображения, и всё это прямо в токене, без лишнего запроса к БД. А ещё время начала и окончания действия токена.

стоит учитывать, что любые данные из токена могут прочитать

ну а какой ответ вы хотите? скажем есть проект, с множеством платежных мерчантов и пользователи привязываются к ним, у мерчантов есть проценты возгараждения, комиссии и курсы. для данного проекта будет удобно в токен пользователя загрузить всю информацию, которая ему нужна для оперативной работы. а есть другой проект, скажем бложик, где есть только пользователь без нагромаждения доп. сущностей, там соответственно будет более чем достаточно передачи в токене ID пользователя + какого-то текстового поля для отображения на фронте. формулируйте вопрос как можно более конкретно иначе будете получать ответы за которые бы на стековерфлоу не проголосовали бы)))

А вот за такой уже проголосовали бы, да. Ну я имел в виду как раз то, что вы сами используете? Тут ведь много людей со стажем 3+ лет, при том, что у меня меньше года.

У меня сейчас авторизация происходит через отправку токена пользователем при каждом запросе. Этот токен каждый раз проверяется в хэндлерах. Можно ли как то улучшить способ авторизации?

Что значит "улучшить"? Какие именно моменты не нравятся в такой схеме?

Что значит "улучшить"? Какие именно моменты не нравятся в такой схеме?

Даже не знаю, честно говоря. Думал, может есть способ сделать авторизацию получше

Ее трудно улучшить без конкретного понимания проблем. Т.к. улучшая одно. сделаешь хуже другое и непонятно, что важнее.

Схема норм. НО - не храните ничего более критического чем нужно - все данные могут быть прочитаны - обратите внимание на подпись и ключи - если не повезет, то вам еще и запишут туда любые права и все поломают - подумайте какие данные вы можете случайно раскрыть и сделать подбираемыми - например, id юзеров, каких-то объектов,котрые потом можно будет вытащить и пр - как отзывать токен? Или это не требуется?

Как правильно выставить для БД следующие значения: SetConnMaxLifetime() SetMaxOpenConns() SetMaxIdleConns()

полагаю, что при инициализации приложения

это разговор про пул идет?

Вопрос не в том, когда это делать

А в том, какие значения ставить

как понять, какие значения нужно выставить

эмпирически)

Не очень рабочий метод

а коде есть какие-то дефолты?

Пробовал так

А в том, какие значения ставить

это зависит от вашей нагрузки в первую очередь

Ну допустим 1к запросов в секунду.

вам нужна волшебная формула?

Желательно да

))

Методом подбора не очень хороший способ

методом осознанного подбора (эмпирически)

Ну я осознанно подбирал

И одни значения могут выдавать разный результат

а в чем выражается нерабочесть подобранных параметров?

чем они не устраивали?

Первый раз выдавало 3к запросов в секунду, второй 4.5, третий 3.5. И все при одних и тех же значениях.

Не то чтобы не устраивали, сколько я хочу понять как это работает