วีดีโอ

Солидарен!)

А что это за бизнес система такая , где можно терять данные?) Курсовая в старших классах?)

@@PaulSith Нет, например данные от датчиков по интервалу, где вашен какой-то средний результат, clickstream большого сайта, активности в соц сетях и т.д., много кейсов где потери не критичны. А вот в курсовой, если это учетная система, нельзя данные, так как такую просто не сдашь норм преподу.

@@semzin Врятли имеет смысл делать такую извращённую систему на спринге и бизнес транзакций , для снятия показаний с датчиков онлайн

Часть кода, того где скобки не с новой строки, взята из внешних зависимостей, таких как Hibernate, GWT и т.д

Добрый день! Написали вам на почту :)

Пожалуй нет. А что не так с набором куар кодов?)

Согласен. Это резонный вопрос который стоит задавать себе и другим при разработке промышленных и комерческих приложений и по возможности так делать не стоит. Но, в жизни все немного суровее. Правила частенько диктует бизнес и такое приходится делать.

Да) Но на этом видео я отдыхаю один)

Ты перегибаешь) Никакого насилия не происходит. Инструмент дает тебе возможности. Ты ими пользуешься. Про распилить приложение. Можно распилить при необходимости, если прям иначе никак. А можно и не пилить. Это вопрос конкретного экземпляра архитектуры. То о чем я говорю - это наиболее частые и прикладные практики. Дядюшка боб много чего говорил. И мартин фаулер много чего говорил....Например, в одной книге про микросервисы, он советует начать с монолита и потом пилить его. А есть его же книжка, где он советует так не делать. Можно сослаться на большое количество источников. Но с расплывчатой аргументацией без конкретных пунктов, твои коментарии больше похожи на пердеж в муку и токсичное вонялово, нежели на технический конструктивный спич)

Если ты про спуфинг, то ответил выше.

Обычно подобные штуки решаются руками сериализаторов,дессериализаторов и парсеров. Вопрос широкий. Наверное краткого ответа на него емко не написать. Это прям тема для доклада)

"Простой сайт" - это широкое понятие. Здесь советую руководствоваться следующими факторами: 1) Чем больше персухи своих пользователей ты хранишь 2) Чем большее количество юридических соглашений и договоров очерчивает круг ваших с пользователями взаимоотношения 3) Чем большие финансовые и репутационные риски утечка данных или нестабильность сервиса несет для тебя и пользователей .... тем более надо беспокоиться о безопасности. Как правильно...по силам и средствам. Сессии сегодня использовать немодно, да и неудобств с ними много. Сделай JWT-токены + оаутх2 и кейклок. Материалы в докладе есть для самоизучения. Этого в общем случае достаточно для "простого" сайта. Ссо - это хорошо и удобно, но стоит подумать на сколько тебе такое под силу и по средствам. Вообще, чем больше ты можешь сделать удобств и безопасности навести, тем лучше. Но важно знать зачем. Про сессии: в самом новом секурити сессии по дефолту отключены.

@@Павел-ю6я5к я уже наверное все видео просмотрел по теме, и книги читал (Spring Security in Action), и офф доки читал. Жаль нельзя сюда видео по критике JWT скинуть, удаляются ссылки. JWT токены нарушают базовое правило - не доверять пользовательскому вводу. Даже разлогин реально срабатывает не сразу, пока не истечёт токен. А в офф доках по rememberme ссылка на сайт, который спрашивает пароль ))) как-то не серьёзно всё это. Ладно буду копать дальше. Сессии мне в итоге кажутся и более безопасными, и предоставляют больше возможностей. Можно сделать так, чтобы даже при угоне куки пользователь понял, что произошёл взлом, и автоматом разлогинить все сессии.

1) прибить токены можно. Зависит от хранилища токенов. В современных реалиях хранить токены в памяти приложения скорее пагубно. Можно прикрутить общий кеш. Редис, например. Обычно достаточно кейклока. Хранить на фронте - можно. Безопасно. Сейчас большое количество приложений так и живет. Тут суть в том, что ваш бекенд защищен и ресурсы не торчат наружу и прикрыты api-gate. Выстроить инфроструктуру для безопасности промышленного уровня - это, чаще всего, задача решаемая не силами спринг приложения. Спринг дает базовые механизмы. Можно ли дошлифовать все до приемлемого уровня только силами приложение + апи гейт + кейклок окта и тд? - можно. Но это нетривиальная задача. Обычно в больших экосистемах - несколько уровней защиты, разделенные контуры + балансировщики, кураторы и т.д. если бы мы изучали ресурсы и доку спринг секьюрити и имеющиеся практики, то скорее всего не нашли бы в открытом доступе "золотого" примера экосистемы промышленного уровня. Однако. Спринг + секурити + апигейт + кейклок - это достаточный минимум, который позволит миновать большинство неприятностей в современных реалиях.

Из самого простого. Используйте SSL и TLS. HTTPS сегодня везде. SpringSecurity такое позволяет.

Классный вопрос кстати. Не самый очевидный.

Ограничить доступ к урлам и методам можно при помощи конфига. В аргументах mvcMatcher() можно передать не только урл, но и тип метода. Гет, пост и тд.

делаешь эндпоинт в котором просто на мыло отправляешь токен с малым временем жизни (можно просто рандомную строку сгенерить и положить в бд + время валидности). Юзер после получения токена на мыло стучится на еще один эндпоинт куда сует свой токен и апдейтит свой аккаунт с новым паролем. это в общем. а со принг секурити погугли просто, полно туториалов

Нет. Это совсем иной) дополненный и более глубокий)

@@enjoyit8499 значит надо использовать))

На Украине вроде вполне остался