А как на app.codesignals.com приглашать народ, чтоб мне бейджик дали?

Ребята, всем добрового времени суток. Помогите с советом. Есть 2 сайта, один на rails, другой на php. Rails должен отправлять кое какие данные по API в PHP, а тот создавать записи у себя в базе. Как правильно сделать все это секьюрным? Какой тип аутентификации\авторизации лучше использовать? Сайт на rails отправлять данные в PHP без участия пользователя.

Ребята, всем добрового времени суток. Помогите с советом. Есть 2 сайта, один на rails, другой на php. Rails должен отправлять кое какие данные по API в PHP, а тот создавать записи у себя в базе. Как правильно сделать все это секьюрным? Какой тип аутентификации\авторизации лучше использовать? Сайт на rails отправлять данные в PHP без участия пользователя.

Hmac

Ребята, всем добрового времени суток. Помогите с советом. Есть 2 сайта, один на rails, другой на php. Rails должен отправлять кое какие данные по API в PHP, а тот создавать записи у себя в базе. Как правильно сделать все это секьюрным? Какой тип аутентификации\авторизации лучше использовать? Сайт на rails отправлять данные в PHP без участия пользователя.

http basic auth

Hmac

Этот не очень гибкий из того что я прочитал, там все нужно преобразовать в строку, а с массивами это будет сложно. Верно?

http basic auth

Это реальный совет? Просто по смайликам тяжело понять

Этот не очень гибкий из того что я прочитал, там все нужно преобразовать в строку, а с массивами это будет сложно. Верно?

Почему массив в строку сложно?

Почему массив в строку сложно?

А если вложенность?

.inspect и все

Этот не очень гибкий из того что я прочитал, там все нужно преобразовать в строку, а с массивами это будет сложно. Верно?

а с чем у тебя там массивы?

а с чем у тебя там массивы?

Пока ни с чем. Пока задача выбрать архитектурно верное и оптимальное решение, с учетом того что мне придется это сделать на php, чтобы защитить его API, а php я не знаю. Ruby знаю.

Ты можешь хешировать не всё поля, а только какой-нибудь id, если он есть

В случае с JWT насколько я понимаю приложение Rails первый раз стучится просто с логином и паролем. Потом получает от php сгенерированный JWT и следующим запросом отправляет данные в POST запросе прикладывая полученный JWT ключ. Верно?

Если в двух словах верно я описал алгоритм взаимодействия?

С hmac суть в том, что ты делаешь хеш сумму, на другой стороне также данные хешируешь, если все совпадает, то принимаешь

Если в двух словах верно я описал алгоритм взаимодействия?

данные не обязательно в посте

В моем случае там API на POST будет со стороны php.

Ты можешь шифровать данные в jwt и гонять один токег

Просто класть рядом один jwt токен не имеет большого смысла для секьюрности

Ты можешь шифровать данные в jwt и гонять один токег

Это как? все данные которые хотим отправить в API ложим в payload? перед шифрованием

Это как? все данные которые хотим отправить в API ложим в payload? перед шифрованием

Ага

Ага

И это же данные дублируем в body? в незашифрованном виде? Чтобы приложение на php могло взять эти данные, взять secret key, сформировать signature и проверить совпадает ли то что пришло с тем что получилось на сервере?

Одна сторона шифрует, другая дешифрует

В боди только токен

Но я хз, что там за данные, которые ты так хочешь защитить

Сбер, например, при передачи платежных данных использует hmac

Cloudpaymets http basic auth

Но я хз, что там за данные, которые ты так хочешь защитить

Rails создает пользователя и передает его пароль в php приложение.

Ну если пароль в bcrypt, то достаточно только hmac или http basic auth

Я тут используя онлайн генераторы JWT сформировал токен, вставил в дешифровщик и он расшифровал payload даже не имея secret_key. Тоесть secret key зашифрованный используется лишь для того чтобы удостовериться, что запрос пришел от человека у которого был данный secret_key

Хотя не, с bcrypt не прокатит

Jwt шифруется и дешифруется по ключу обычно

получается в незашифрованном виде пароль не передашь. Пароль в php нужен в явном виде.

Ну кароч я бы на твоём месте все в jwt пихал

Jwt шифруется и дешифруется по ключу обычно

http://jwtbuilder.jamiekurtz.com/ - тут сделал токен. тут расшифровал. https://jwt.io/ даже не вводят secret_key

Попробуй рубишным jwt зашифровать, оно никак не должно без ключа дешифроваться

Хорошо, спасибо за советы. Итого мы имеем вывод, что в JWT фактически достаточно даже безопасно передать пароль пользователя предварительно не шифруя его. Верно?

Ты можешь и пароль зашифровать)

https://jwt.io/ расшифровал и рубишный )

Хорошо, спасибо за советы. Итого мы имеем вывод, что в JWT фактически достаточно даже безопасно передать пароль пользователя предварительно не шифруя его. Верно?

JWT не шифрует ничего, его нельзя использовать для передачи паролей или другой секретной информации

JWT только подписывает данные и предотвращает их модификацию

JWT только подписывает данные и предотвращает их модификацию

Да, вот путем небольших тестов я к этому и пришел.

Если нужно передавать скрытую информацию между сервисами которые располагаются на разных машинах будет достаточно https и любой общий secret token

Как это не шифрует? Без secret key доступ к данным никак не получить

Как это не шифрует? Без secret key доступ к данным никак не получить

Берёт. И не шифрукт. С hmac так точно, hmac - это подпись

Если нужно передавать скрытую информацию между сервисами которые располагаются на разных машинах будет достаточно https и любой общий secret token

Разные сервера, оба работают на https, открытый пароль засовываем в JWT и не паримся?

Как это не шифрует? Без secret key доступ к данным никак не получить

Мои тесты показывают обратное. Зашифровал в ruby изпользуя секрет кей, вставил в дешифровщик (онлайн я выше ссылку кидал). Payload расшифрован, но подпись не валидная, даю ему ключ и он пишет - все ок

Разные сервера, оба работают на https, открытый пароль засовываем в JWT и не паримся?

В целом да. Если мучает паранойя, то можно дополнительно зашифровать через rsa или aes

Берёт. И не шифрукт. С hmac так точно, hmac - это подпись

Hmac - понятно. А вот с jwt да, не так понимал

Цепями Маркова решил

лол че

Тут много за ООП рассуждают, сервисы и т.д. Есть интересный способ скрывать скрывать классы с верхнего уровня видимости в руби https://habr.com/post/419969/

Тут много за ООП рассуждают, сервисы и т.д. Есть интересный способ скрывать скрывать классы с верхнего уровня видимости в руби https://habr.com/post/419969/

читал вчера эту статью... по-моему бред. private_constant я юзал, а вот все эти remove_const - верный путь куда-то не туда

в нормальном проекте я бы так не делал

у нас же convention over configuration, нафиг нам скрывать классы

лучше показывать пальцем и обзываться на того кто обращается к редису из view

а к базе?)

Если к базе, то за спиной должен стоять специально обученный человек с черенком достаточной длины

редис же и есть база

прямо голым сиквелом

ну я имел в виду не nosql

ERROR: S client not available

Вот что бы не выделять специального человека с черенком, можно скрыть классы которые позволяют напрямую обращаться к БД (primary storage)

лучше обзываться )

для всего этого есть code review

тем более сокрытие классов не поможет от такого как record.update(...)

или Model.select(...)

тем более сокрытие классов не поможет от такого как record.update(...)

Зато тут поможет выкидывание рельс)

Зато тут поможет выкидывание рельс)

Не поможет

Почему?

Дело не в инструменте, а в людях\руках

Дело не в инструменте, а в людях\руках

Все так

Понятно, что некоторые инструменты больше форсят плохие решения, но конечная реализация зависит только от тебя

Почему?

Ну, я видел пару примеров, где на ханами писали хуже чем на рельсе, так что выкидывание инструмента не поможет, нужен сдвиг в сознании

Чето рофл какой-то, рспек отказывается видеть класс. Есть структура, условно говоря, cart::requests::create_cart и cart::responses::create_cart

рспек видит cart::responses::create_cart, а cart::requests::create_cart нет

при чем говорит

uninitialized constant Requests::CreateCart (NameError)

что не полное название класса

может private_constant мешает?

чё за хуйня? ему реквестс не нравится?

лолд

нет

при чем в рельсовой консоли я вижу тот класс

а рспеку не нравится

чё за хуйня? ему реквестс не нравится?

может этот класс где то внутри используется и у тебя ссылка идет не на твой, а на какой то внутренней

он почемуто ищет Requests::CreateCart

Ну я прописываю AmazonAPI::Entities::Cart::Requests::CreateCart

а жалуется на Requests::CreateCart

а если AmazonAPI::Entities::Cart::Requests**s**::CreateCart

то всё ок

пиздец