ReSQL.ru
     
powered by simpleCommunicator - 2.0.51     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / SSO - несколько вопросов.
25 сообщений из 221, страница 7 из 9
  7  все
SSO - несколько вопросов.
    #39684999
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортомА нафига настолько? access токен типа выдают на три минуты.


Принцип такой:

access токен коротко живущий
refresh токен долго живущий

3 минуты норм
...
Рейтинг: 0 / 0
08.08.2018, 18:37
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39685096
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
Либо я дурак, либо...
Но я не дурак.

Ссылка на доку

Поиск по подстроке - /blitz/oauth/me

По этому адресу предлагается обращаться, чтобы получить данные о пользователе.

Но, с**а, у меня вываливается с ошибкой 404 попытка что-то получить по нему, как из кода - так и из броузера.

Причем мне кажется, что такой адрес blitz не expose-ит, его вообще нет, так как другие адреса мычат в ответ что-то вменяемое, а не 404 HTTP.

По всем остальным endpoint-ам - всё нормально.

Что опять не так в консерватории??
...
Рейтинг: 0 / 0
08.08.2018, 22:03
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39685105
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортом,

кидай багрепорт
...
Рейтинг: 0 / 0
08.08.2018, 22:42
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39685108
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
hVosttАгнец за бортом,

кидай багрепорт

Написал я разрабам, но они не очень подвижные.
...
Рейтинг: 0 / 0
08.08.2018, 22:54
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686809
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
Не соображу - как сделать правильно.

Есть аутентификация на формах.

У меня в куках есть инфа - что это за юзер, и какие у него роли. В виде самодельного/зашифрованного JWT-токена.

Как мне нужно переопределить юзер-провайдера, чтобы при каждом запросе защищенного ресурса - код проверял куки и вычислял валидность токена?

С авторизацией вроде понятно (провайдер Ролей), а как быть с аутентификацией?

Я не вижу там методов, которые вызывались бы при каждом запросе, что-то типа isUserAuthenticated() - где я могу разместить любую логику.

Например, до часу дня - все считаются аутентифицированными, после часа дня - никто.
...
Рейтинг: 0 / 0
13.08.2018, 12:51
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686813
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
Агнец за бортом,
Конвейер запросов или как там он назвается.
...
Рейтинг: 0 / 0
13.08.2018, 12:55
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686817
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортом,

В доках твоего провайдера нет примеров?
...
Рейтинг: 0 / 0
13.08.2018, 12:59
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686827
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
hVosttАгнец за бортом,

В доках твоего провайдера нет примеров?

Ты какого провайдера имеешь ввиду? Если SSO - то он тут вообще уже не причем.

У меня есть хттп-модуль, где я проверяю валидность токена, если всё ок, то как бы юзер считается аутенти... мля, залогиненным.

Остается "сообщить" об этом остальной части приложения, которая "нафарширована" атрибутами аутентификации/авторизации и прочим.

Правильно ли я понимаю?

Мне надо в каком-то хттп-модуле выполнить такой код:

Код: c#
1.
2.
3.
4.
5.
6.
7.
8.
private void SetPrincipal(IPrincipal principal)
{
    Thread.CurrentPrincipal = principal;
    if (HttpContext.Current != null)
    {
        HttpContext.Current.User = principal;
    }
}

- передав сущность IPrincipal , которую я сгенерирую из токена (там есть вся инфа).

Дальше вся эта система - отработает как обычно.

А метод ValidateUser вызывается вручную при логине и при SSO - не нужен.
...
Рейтинг: 0 / 0
13.08.2018, 13:11
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686837
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортом,

https://developer.okta.com/blog/2018/03/23/token-authentication-aspnetcore-complete-guide

вот, с примерами, я честно говоря не знаю зачем тебе модуль.
...
Рейтинг: 0 / 0
13.08.2018, 13:25
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686850
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
hVosttя честно говоря не знаю зачем тебе модуль.

-- The JwtBearer middleware looks for tokens

хттп-модуль выполняет роль middleware. Я хочу замутить всё своими руками, чтобы проникнуться всем этим до конца.

Когда-то давно - я делал аутентификацию на токенах (сайт+ведро). Сделал все как в примере.
Чо, всё заработало. Какой-то код, какие-то заголовки.

Что сделал - вообще не понял.

***
Я прав про iPrincipal?
...
Рейтинг: 0 / 0
13.08.2018, 13:38
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686853
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортомЧто сделал - вообще не понял.



Агнец за бортомЯ прав про iPrincipal?

Созданием принципала можно управлять, конечно.

Вот позырь полноценный рабочий пример
https://github.com/mderriey/TokenRenewal/blob/master/src/MvcClient/Startup.cs
...
Рейтинг: 0 / 0
13.08.2018, 13:40
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686869
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
hVosttВот позырь полноценный рабочий пример

Я так понимаю, что мучу свою велосипедную реализацию аутентификации на токенах/модулях.
...
Рейтинг: 0 / 0
13.08.2018, 13:51
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686878
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортомЯ так понимаю, что мучу свою велосипедную реализацию аутентификации на токенах/модулях.

Да нафиг оно надо :)
...
Рейтинг: 0 / 0
13.08.2018, 13:58
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686896
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
hVosttАгнец за бортомЯ так понимаю, что мучу свою велосипедную реализацию аутентификации на токенах/модулях.

Да нафиг оно надо :)

1. Микс из : auth code flow + по явному паролю (popup на странице).
2. Интеграция SSO со кастомным хранением данных.
3. Если использовать stateless - необходимо шифровать информацию в токене, чтобы она была "недоступна" клиенту.
4. Разный код проверки аутентификации по всему приложению.

Как бы не понимая, что там под капотом крутится - сложно будет добиться согласованной работы.

Как мне кажется.
...
Рейтинг: 0 / 0
13.08.2018, 14:15
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686917
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортом,


Погоди, так тебе не hybryd flow нужен?
...
Рейтинг: 0 / 0
13.08.2018, 14:39
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686924
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
hVosttАгнец за бортом,


Погоди, так тебе не hybryd flow нужен?

Это значит - переписать все запросы из SPA/JS/Черта в ступе. Подписывать запросы маркерами доступа - unreal.



Идея такая - получаем токен от SSO, напихиваем туда доп. инфо, шифруем и ставим в куки.

В модулях валидируем/обновляем/ставим принципалов - обрабатываем запрос в приложении.
...
Рейтинг: 0 / 0
13.08.2018, 14:51
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686940
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
Агнец за бортомтокен от SSO, напихиваем туда доп. инфо, шифруем и ставим в куки.токены sso отдельно и свои отдельно.
...
Рейтинг: 0 / 0
13.08.2018, 15:15
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686960
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортомЭто значит - переписать все запросы из SPA/JS/Черта в ступе. Подписывать запросы маркерами доступа - unreal.
Идея такая - получаем токен от SSO, напихиваем туда доп. инфо, шифруем и ставим в куки.

Что тебе мешает сделать редирект для SPA приложение со стороны сервера?

Во-первых, текущий стейт SPA приложения всё равно придётся похерить, так как ты вообще можешь зайти под другим пользователем при перелогине, и у тебя весь UI из-за этого перестраивать надо (пусть даже нет, но потенциально да).

Вот как это должно работать.

1. Запрос с браузера, без действующей авторизованной куки.
2. Редирект на SSO на логин.
3. Редирект с SSO на сервер с auth code
4. Получение токена, user info сервером, формирование куки, ответ браузеру

5. Всё, твой SPA сидит с кукой и знать не знает что там за фигня про авторизацию.
6. Нужно повесить хук, чтобы на 403 у тебя происходил редирект.


Если же ты хочешь полность SPA авторизацию в попапе, то будь добр, используй токен, и забудь про куку. Это плохо сочетаемые понятия.
...
Рейтинг: 0 / 0
13.08.2018, 15:36
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686961
Фотография hVostt
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
hVostt
Участник
Агнец за бортомЕсли использовать stateless - необходимо шифровать информацию в токене, чтобы она была "недоступна" клиенту.

Стейтлесс, кстати, не обязывает тебя шифровать всю поднаготную в куки. Используй кеширование по токену и всё.
...
Рейтинг: 0 / 0
13.08.2018, 15:37
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686968
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
hVosttВот как это должно работать.
Согласен, тем более, сам SSO к этому подталкивает.



hVosttЕсли же ты хочешь полность SPA авторизацию в попапе, то будь добр, используй токен, и забудь про куку. Это плохо сочетаемые понятия.

Хех, как это выглядит кратко.

- Нет времени объяснять, интегрируемся с SSO.
- Вместо popup-а - будет редирект на SSO.
- Э, попап не трогай!

На самом деле - не такая проблема - прокинуть пароль на .NET-сервер, получить всю инфу, записать в куку, и
сделать движение на SPA. Если так хочется попап.

hVosttСтейтлесс, кстати, не обязывает тебя шифровать всю поднаготную в куки. Используй кеширование по токену и всё.

Вот этого вообще не понял. Что такое "кеширование по токену"?
...
Рейтинг: 0 / 0
13.08.2018, 15:51
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686969
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
Petro123токены sso отдельно и свои отдельно.

Токены SSO зашифрованы внутри "своих". Или что значит отдельно?

Раз нет сессий - всё в одних куках.
...
Рейтинг: 0 / 0
13.08.2018, 15:52
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686975
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
Агнец за бортомPetro123токены sso отдельно и свои отдельно.

Токены SSO зашифрованы внутри "своих". Или что значит отдельно?

Раз нет сессий - всё в одних куках.возможно лучше переложить инфу в свои токены в своих куках)))).
А не чужие токены пихать по любому клиенту на любой комп.
Блин, как всё намешано).
...
Рейтинг: 0 / 0
13.08.2018, 16:05
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39686976
Фотография Petro123
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Petro123
Участник
Вообще, что значит токен внутри куки?
Это просто строка
My=GFDYTKJUTYFVBMIHRVBMJHFVNJGCBJK
Внутри куки.
Так?
...
Рейтинг: 0 / 0
13.08.2018, 16:07
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39687031
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
Petro123Блин, как всё намешано).

Не, парни, вы помогли расставить всё по местам.

Всё правильно - вся инфа в своих токенах + своих куках. На токены SSO - пофиг (условно).
...
Рейтинг: 0 / 0
13.08.2018, 17:37
| Ответить | Цитировать | Написать  
SSO - несколько вопросов.
    #39687033
Агнец за бортом
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Агнец за бортом
Участник
Petro123Вообще, что значит токен внутри куки?

Не обращай внимания.

Токен - поле объекта.
Объект - в JSON.
JSON - в BASE64
BASE64 - шифруем.
Зашифрованное - в куки.
...
Рейтинг: 0 / 0
13.08.2018, 17:39
| Ответить | Цитировать | Написать  
25 сообщений из 221, страница 7 из 9
  7  все
Форумы / ASP.NET [игнор отключен] [закрыт для гостей] / SSO - несколько вопросов.
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru       Новости, Чат       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=18&msg=39687033&tid=1355155]:
 0ms
get settings:
 9ms
get forum list:
 15ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 66ms
get topic data:
 11ms
get forum data:
 3ms
get page messages:
 57ms
get tp. blocked users:
 1ms
others: 275ms
total:  445ms
созд. / загр.: 445ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]