Jestem w trakcie tworzenia projektu (aplikacja mobilna oraz strona www) i zastanawiam się w jaki sposób najlepiej zaimplementować system do autoryzacji użytkowników (login/hasło + logowanie przez FB, Google, Apple).
Czy standardowe JWT będzie wystarczające czy trzeba rozważać coś więcej?
Zastanawiałem się też nad firebase oraz keycloak. Choć nie wiem czy to będzie dobra opcja
Keycloak spoko i popularne w ekosystemie javy i springa.
OAuth i JWT to chyba już powoli standard dla nowych systemów
Keycloak - słyszałem dużo dobrego i sam też przymierzam się to zastosowania go
jak wybierzesz opcje w powyższym nurcie to jeszcze musisz się zastanowić jak gruby chcesz mieć access token
jak upchasz w niego uprawnienia to większość usług nie będzie musiało biegać do innej usługi aby zautoryzować każdy request
minusem jest oczywiście długi token w każdym requestcie wtedy
Implementacja z https://medium.com/javarevisited/jwt-and-social-authentication-using-spring-boot-90e4faaa9204 będzie wystarczająca?
Czy jednak trzeba szukać czegoś bezpieczniejszego?
Macyout napisał(a):
Implementacja z https://medium.com/javarevisited/jwt-and-social-authentication-using-spring-boot-90e4faaa9204 będzie wystarczająca?
Czy jednak trzeba szukać czegoś bezpieczniejszego?
tak, implementacja Oauth / JWT w ramach Spring Security jest robust
jeżeli nie wycieknie nigdzie Twój klucz prywatny to będziesz bezpieczny, więc uważaj żeby to nie trafiło do jakiegoś łatwo dostępnego zasobu
w tutku jest tylko pokazany access token - żebyś nie musiał robić access tokenów z długim TTL warto się jeszcze zainteresować refresh tokenem zgodnym z OAuth - wtedy będzie ograniczał ryzyko session hijacking dla swoich użytkowników