ты же вроде как в одном месте их все роуты собираешь

Nginx :)

вот в том месте можно завернуть их в директиву

вот в том месте можно завернуть их в директиву

Да вот чет respondWithDefaultHeaders меня игнорирует на часть запросов, или нужно respondWithHeaders использовать?

https://doc.akka.io/docs/akka-http/current/routing-dsl/directives/respond-with-directives/respondWithHeaders.html

У меня есть такое, вроде, всегда срабатывает

Да вот что-то не могу понять, либо js стучится не куда нужно, и сервак его резонно посылает, либо на серваке проблема. Щас костылями пожонглирую, пойму

UPD: с respondWithHeaders все в порядке, на фронте затупил (убивает меня этот js...)

> В Китае выпустили бюджетный электрокар стоимостью в $5600

интересное у вас представление об информационных технологиях

нубский вопрос (никогда не сталкивался с задачей) Что есть готового для работы с паролями веб пользователей? Или нужно самому все городить по каким-то best practices?

Oauth пока скиппнем

Про токены (например, jwt) знаешь?

слышал краем уха, спасибо за напоминание также где то видел мнение, что у технологии какие-то проблемы бай дизайн

Про токены (например, jwt) знаешь?

С ними ж сложно становится)

нубский вопрос (никогда не сталкивался с задачей) Что есть готового для работы с паролями веб пользователей? Или нужно самому все городить по каким-то best practices?

А что с паролями нужно делать? Подписывать запросы какие-то?

Про проблемы хз, но обычно пользователь вводит логин/пароль, который сравнивается с сохраненным (закодированном с salt) паролем, если ок, то выдается токен ( обычно на 5 минут) и клиент к каждому запросу прикрепляет токен и иногда просит сервер его обновить.

Обычно делают два токена

А что с паролями нужно делать? Подписывать запросы какие-то?

будет сервис, где нужно организовать работу с каждым пользователем раздельно собсно пользователей надо авторизовывать

будет сервис, где нужно организовать работу с каждым пользователем раздельно собсно пользователей надо авторизовывать

Информацию о пользователе можно вшивать в токен, все равно кроме сервера, токен расшифровать никто не может.

Обычно делают два токена

Чо за два токена?

Чо за два токена?

Один с инфой, другой для продления и долгий

Про проблемы хз, но обычно пользователь вводит логин/пароль, который сравнивается с сохраненным (закодированном с salt) паролем, если ок, то выдается токен ( обычно на 5 минут) и клиент к каждому запросу прикрепляет токен и иногда просит сервер его обновить.

насколько знаю подход к шифрованию - достаточно критичный вопрос (помимо солонки надо еще от атак по времени защищать и наверняка еще что-то), что для этого есть?

Ну вот это обновление каждые пять минут и есть защита по времени.

Ну вот это обновление каждые пять минут и есть защита по времени.

это не та защита

Вообще это все поверх https, так что мидл мена тоже нет.

для той защиты нужно просто фунцкию сравнения правильную вызвать, в akka-http есть

Это защита от чего?

Я просто сравниваю время выдачи токена с текущем временем и временем последней смены пароля, на всякий случай.

https://doc.akka.io/docs/akka-http/current/routing-dsl/directives/security-directives/index.html#credentials-and-password-timing-attacks

https://doc.akka.io/docs/akka-http/current/routing-dsl/directives/security-directives/index.html#credentials-and-password-timing-attacks

Ну я вроде о том же говорю.

нет

https://doc.akka.io/docs/akka-http/current/routing-dsl/directives/security-directives/index.html#credentials-and-password-timing-attacks

спасибо, похоже на то что надо а есть не прибитое к акке?

там рассказывается об атаке, которая замеряет время ответа

чтобы вычислить в среднем, сколько символов заматчилось

Как такая атака может пройти, если у пользователя три попытки на ваедение пароля, остальные будут экспоенциально тормозиться?

Ну я вроде о том же говорю.

атака по времени возможна, когда время шифрования зависит от шифруемого значения, и позволяет подбирать исходные значения токены - это про сессию

Я, впрочем, после трех блочу аккаунт на 15 минут логин, наверное, не лучшая практика

Как такая атака может пройти, если у пользователя три попытки на ваедение пароля, остальные будут экспоенциально тормозиться?

это тоже вариант хороший, но какой-нить баг в реализации одной фичи может поставить под угрозу безопасность другой не оч имхо

Я, впрочем, после трех блочу аккаунт на 15 минут логин, наверное, не лучшая практика

легко deinal of service так сделать

перебирать постоянно всех юзеров

если есть источник, где светятся их логины

нубский вопрос (никогда не сталкивался с задачей) Что есть готового для работы с паролями веб пользователей? Или нужно самому все городить по каким-то best practices?

На owasp.org есть много материала по best practices. А вообще лучше с местным безопасник пообщаться, у вас разве не SDLC?

На owasp.org есть много материала по best practices. А вообще лучше с местным безопасник пообщаться, у вас разве не SDLC?

это в пет-проджект

на работе мои сервисы без пользователей и наружу не торчат

А, ок. Из готового я кроме jwt и не помню ничего.

ясно материал для старта есть, всем спасибо

У нас люди сами поверх Spring Security какого-нибудь писали велосипеды, может им хотелось просто.

Подскажите, пожалуйста: у меня есть поток данных, скажем, Stream[T], я хочу что-то вроде find, который мог бы испольняться параллельно над разными элементами.

Подскажите, пожалуйста: у меня есть поток данных, скажем, Stream[T], я хочу что-то вроде find, который мог бы испольняться параллельно над разными элементами.

Если использовать Akka-Streams, то можно, например, написать stream mapAsyncUnordered (долгая операция) collect (условие) take 1

Если использовать Akka-Streams, то можно, например, написать stream mapAsyncUnordered (долгая операция) collect (условие) take 1

collect разве не терминальная операция?

collect разве не терминальная операция?

В Akka-Streams нет, если я правильно понял вопрос.

Т.Е. оно не будет считать все элементы?

Вам даже collect не нужен. Достаточно filter.

Т.Е. оно не будет считать все элементы?

Нет, не будет. Как только первый найдет, take 1 отменит поток.

Я думаю в mapAsyncUnordered вы можете возвращать, например, Future[Option[T]]

А потом в collect брать только то что Some

Спасибо, гляну как там это сделано. А может кто знает как с ExecutorService такое провернуть?

Спасибо, гляну как там это сделано. А может кто знает как с ExecutorService такое провернуть?

Можно складывать в java.util.concurent.CompletionService и брать оттуда через take. А когда найдёте элемент, то вызвать shutdown. Я, правда, лет сто напрямую джававские классы не использовал. Не расскажу про подводные камни.

якорЪ

Можно складывать в java.util.concurent.CompletionService и брать оттуда через take. А когда найдёте элемент, то вызвать shutdown. Я, правда, лет сто напрямую джававские классы не использовал. Не расскажу про подводные камни.

Не очень мне подходит, приходится руками всякие очереди прикручивать. Думаю, что-то более подходящее должно быть.

https://github.com/scalaz/scalaz/pull/1647

https://github.com/scalaz/scalaz/pull/1647

нотбедный костыль

правда, учитывая, что у них нет своего симулякрума, количество бойлерплейта несильно уменьшилось

интересно, заадоптил ли кэтс мтл

Как в ReactiveMongo сделать поиск по полю документа в массиве?

Как в ReactiveMongo сделать поиск по полю документа в массиве?

.find( { 'arrayname.fieldname': { $lte: 20 } } ) например берешь доку и прост обычные монгоквери перекладываешь на апишку, они +- подинаковые ^ инфа сверху актуальна на 4-3 года давности p.s. правильно, что акку и монгу используете

.find( { 'arrayname.fieldname': { $lte: 20 } } ) например берешь доку и прост обычные монгоквери перекладываешь на апишку, они +- подинаковые ^ инфа сверху актуальна на 4-3 года давности p.s. правильно, что акку и монгу используете

Благодарю, в общем там dot нотация, ясно, сейчас попробуем.

в доках просто про это нигде не сказано (по reactivemongo)

Благодарю, в общем там dot нотация, ясно, сейчас попробуем.

монгозапрос в монгошелле похоже пишется

поэтому в доках по монгореактиву и нету

попробуй еще с монго докой ознакомиться

монгозапрос в монгошелле похоже пишется

Она, зашкварился )

Она, зашкварился )

знать своего врага надо в лицо, что бы не кидаться пустословными аккамонгами

Кстати, в реактивмонге какая скалка сейчас используется?

Кстати, в реактивмонге какая скалка сейчас используется?

хорошая попытка, но я не знаю

https://mvnrepository.com/artifact/org.reactivemongo/reactivemongo

хорошая попытка, но я не знаю

Ок) меня как-то взяло любопытство , попробовать монгу, хотел взять salad или как там - там только 2.11, короче работал я с драйвером официальным , это довольно больно, если не писать какой нибудь дсл поверх

https://mvnrepository.com/artifact/org.reactivemongo/reactivemongo

Да, здесь вроде не так уж плохо

Подскажите, в cats, первым аргументом идёт функтор, а не функция (что дало бы бесплатно lift), для того чтобы не приходилось указывать тип элемента в map?

Подскажите, в cats, первым аргументом идёт функтор, а не функция (что дало бы бесплатно lift), для того чтобы не приходилось указывать тип элемента в map?

где функтор идёт первым аргументом?

В map

def map[A, B](fa: F[A])(f: A => B): F[B]

F[A] - это не функтор, хотя в техническом плане, ты прав. Совсем первым аргументом идёт this, который в данном случае функтор

def map[A, B](f: A => B)(fa: F[A]): F[B] мне кажется более естественным, но при этом тип А не выводится, я хочу понять прав ли я утверждая это

Если отбросить неудавшуюсь воскресную токсичность, функции удобно передавать последним аргументом в отдельном арг-листе, чтобы писать типа F.map(fa){ a => .... }

def map[A, B](f: A => B)(fa: F[A]): F[B] мне кажется более естественным, но при этом тип А не выводится, я хочу понять прав ли я утверждая это

и я согласен, что форма map[A, B](f: A => B): F[A] => F[B] наиболее естественная, но напрактике так себе

понял, т.е. из практических соображений, спасибо

https://news.ycombinator.com/item?id=16353551 @fomkin конкуренты Королева

https://news.ycombinator.com/item?id=16353551 @fomkin конкуренты Королева

Нет же. Юдаш это фулстэк-фреймворк вроде gwt. Короле легкий, как перышко и не нагружает cpu на криенте.