Александр, вы выпускаете невероятно крутые видео. Особенно сильно я обалдел, когда в одном из них вы упомянули Стаса Асафьева. Невольно пробежала мысль: "Вот это да, теперь осталось дождаться, когда стасян в своей документалке упомянет сельского джависта". Спасибо вам огромное
Спасибо за труд! Продолжай в том же духе) было бы интересно узнать, как вообще пришел к Java, как рос от Джуна до текущей должности, как прокачиваешь скилы)
Про dispatcherTypeMatchers хотелось бы больше информации. Как раз столкнулся с проблемой, когда тип asynk (и запрос всегда падал с 403), ну и как выход был permitAll. Но внутренности сего процесса остались неясны. А в целом отличные видео, очень много именно нужной информации в структурном виде Огромное спасибо!
Уважаемый, будь те так любезны выпустить видео про Hibernate. Используют или нет Criteria API, основные практики и т.д. Хотелось бы знать, на чём лучше сконцентрировать внимание.
Отличный канал с крутым контентом! Подписка и лайк однозначно. Скажите, планируются ли видео по reactive programming? Также очень интересует Debezium, Apache Camel, Flink и Spark.
Иногда встречаются ситуации, когда объединение техник авторизации может быть удобным, особенно, когда речь идёт о постфильтрации или поставторизации (@PostFilter и @PostAuthorize). В целом нет ничего плохого в комбинировании этих техник, хотя в большинстве случаев, на мой взгляд, можно обойтись какой-то одной.
Привет, ты навешивал Pre/PostAuthorize на сервисы, а не на контроллеры, за этим скрывается какая-то логика? А так же чему спринг отдает приоритет если присутствуют и аннотации, и фильтер чейн?
И @PreAuthorize и @PostAuthorize можно вешать и на контроллер (и не только), всё зависит от того, где хочется ограничивать доступ. Наивысший приоритет у фильтра авторизации.
классный видос, но вешать авторайзы в сервисах - жесть какая то). Если это сервисы будут использоваться внутри приложения, везде надо будет авторизоваться?) Даже представить себе кейс не могу короче такой)
Не вижу никаких проблем, абсолютно нормальное и рабочее решение, аутентификацию пройти нужно всего один раз, контекст безопасности хранится в рамках запроса и может быть получен в любой момент, в том числе и для проверки доступа
Можно комбинировать, безопасность методов позволяет более тонко настраивать авторизацию, например, проверять доступ к загруженным из БД объектам, а HTTP-безопасность позволяет настроить авторизацию более общими правилами.
Спасибо за видео. Можно ли аннотации фильтрации использовать "не по назначению", а, например, для изменения содержимого объектов коллекции? В качестве примера такой гипотетический кейс: возвращать весть список туду-шек (не только автора), но чужие туду-шки "деперсонализировать" (заменить имя автора на белиберду).
Нет, изменять сами объекты средствами Spring Security не получится, но это можно сделать при помощи АОП: описать соответствующие точки среза, и в советах модифицировать данные
Расскажите, пожалуйста, как использовать кастомные аннотации в авторизации. В аннотации задаются енам параметры (ресурс, действие), по которым через внешний сервис определяется имеет пользователь право доступа к методу или нет.
@@shurik_codes не уверен, что это оптимальный путь. Но в любом случае было бы интересно посмотреть как правильно встроить СС в advice, чтоб аннотация отрабатывала полностью как @PreAuthorize например, как на обычных методах, так и на контроллерах.
Правильно ли я понимаю, что spring security будет работать, если в качестве веб-сервера используется Tomcat (spring-boot-starter-web)? Например, если буду использовать в качестве веб-сервера Armeria, то spring security не будет ловить запросы.
Александр, вы выпускаете невероятно крутые видео. Особенно сильно я обалдел, когда в одном из них вы упомянули Стаса Асафьева. Невольно пробежала мысль: "Вот это да, теперь осталось дождаться, когда стасян в своей документалке упомянет сельского джависта". Спасибо вам огромное
полтора часа кайфа
Да ну бросьте меня так нахваливать, а то щёчки аж покраснели xD
Спасибо за труд! Продолжай в том же духе) было бы интересно узнать, как вообще пришел к Java, как рос от Джуна до текущей должности, как прокачиваешь скилы)
Как всегда отлично! Жду ролик про ACL.
Было бы еще очень круто увидеть от вас видео по работе с протоколом websocket
прекрасная лекция, были проблемы с переходом на Spring Boot 3, теперь многие препоны сняты, спасибо
отлично, спасио за очередную порцию годноты!
Краааайне годное видео. Спасибо, что потратил время на запись, уверен ты потратил далеко не полтора часа :D
Четкое объяснение! Благодарность за труд и время
очень круто и качественно, все по делу, спасибо тебе огромное:3
Спасибище! очень в тему! давно ждал ))
Отличный ролик ! Очень хорошо все рассказано, понятно и ёмко. Смотрится как хороший фильм - на одном дыхании )) Огромное Спасибо, Александр !
Топовые видео по Security! И свежее что очень важно!
Очень круто! Как насчёт полного курса по спрингу?)
Отвечу стандартно: было бы время)
Спасибо
Про dispatcherTypeMatchers хотелось бы больше информации. Как раз столкнулся с проблемой, когда тип asynk (и запрос всегда падал с 403), ну и как выход был permitAll. Но внутренности сего процесса остались неясны.
А в целом отличные видео, очень много именно нужной информации в структурном виде
Огромное спасибо!
Лайк, коммент🎉
Уважаемый, будь те так любезны выпустить видео про Hibernate. Используют или нет Criteria API, основные практики и т.д. Хотелось бы знать, на чём лучше сконцентрировать внимание.
Я на практике не использую JPA/Hibernate, но пожелание учту)
Отличный канал с крутым контентом! Подписка и лайк однозначно. Скажите, планируются ли видео по reactive programming? Также очень интересует Debezium, Apache Camel, Flink и Spark.
Про реактивное программирование будет, про Apache Camel, возможно, тоже
@shurik_codes
Александр, спасибо огромное за контент! ❤ Очень информативно!
21:53 Скажите, планируется ли ролик по работе с CAS? И, может быть, SAML?
Да, блиииин... Ещё две темы в планы надо добавлять)
Безумно полезное видео, автору низкий поклон! У меня вопрос насколько целесообразно давать доступы и через http и через аннотации в одном приложении?
Иногда встречаются ситуации, когда объединение техник авторизации может быть удобным, особенно, когда речь идёт о постфильтрации или поставторизации (@PostFilter и @PostAuthorize). В целом нет ничего плохого в комбинировании этих техник, хотя в большинстве случаев, на мой взгляд, можно обойтись какой-то одной.
Привет, ты навешивал Pre/PostAuthorize на сервисы, а не на контроллеры, за этим скрывается какая-то логика? А так же чему спринг отдает приоритет если присутствуют и аннотации, и фильтер чейн?
И @PreAuthorize и @PostAuthorize можно вешать и на контроллер (и не только), всё зависит от того, где хочется ограничивать доступ. Наивысший приоритет у фильтра авторизации.
Учим яву, не расстраиваем Чака😂
классный видос, но вешать авторайзы в сервисах - жесть какая то). Если это сервисы будут использоваться внутри приложения, везде надо будет авторизоваться?) Даже представить себе кейс не могу короче такой)
Не вижу никаких проблем, абсолютно нормальное и рабочее решение, аутентификацию пройти нужно всего один раз, контекст безопасности хранится в рамках запроса и может быть получен в любой момент, в том числе и для проверки доступа
@@shurik_codes зачем проходить аутентификацию внутри приложения? взаимодействие с другими приложениями происходит через рест апи же
Тяжело читать шрифт, поменяй пожалуйста на обычный какой нибудь, а так видео топ
Спасибо. Защита методов и HTTP оно все комбинируется в продакшине или выбирается один какой-то?
Можно комбинировать, безопасность методов позволяет более тонко настраивать авторизацию, например, проверять доступ к загруженным из БД объектам, а HTTP-безопасность позволяет настроить авторизацию более общими правилами.
Спасибо за видео. Можно ли аннотации фильтрации использовать "не по назначению", а, например, для изменения содержимого объектов коллекции? В качестве примера такой гипотетический кейс: возвращать весть список туду-шек (не только автора), но чужие туду-шки "деперсонализировать" (заменить имя автора на белиберду).
Нет, изменять сами объекты средствами Spring Security не получится, но это можно сделать при помощи АОП: описать соответствующие точки среза, и в советах модифицировать данные
Добрый день! Спасибо за видео. Можно этот код в репозитории GitHub увидеть?
К этому видео нет примеров кода
не плохой контент, но от паразитов б следует избавится, таких например как `соответственно` etc
Расскажите, пожалуйста, как использовать кастомные аннотации в авторизации. В аннотации задаются енам параметры (ресурс, действие), по которым через внешний сервис определяется имеет пользователь право доступа к методу или нет.
АОП в помощь: в точках среза указывать (pointcut) перехватываемые аннотации, в советах (advice) реализовывать нужную логику
То есть хотите сказать с помощью Spring Security такое невозможно сделать?
@@user-jq5ez8vz2j чтобы строить поведение относительно кастомные аннотаций нужно АОП, а внутри можно использовать spring security
@@shurik_codes не уверен, что это оптимальный путь. Но в любом случае было бы интересно посмотреть как правильно встроить СС в advice, чтоб аннотация отрабатывала полностью как @PreAuthorize например, как на обычных методах, так и на контроллерах.
Правильно ли я понимаю, что spring security будет работать, если в качестве веб-сервера используется Tomcat (spring-boot-starter-web)? Например, если буду использовать в качестве веб-сервера Armeria, то spring security не будет ловить запросы.
Насколько я понимаю, Armeria основан на Netty, предположу, что можно прикрутить Spring Security Reactive
Подскажите, какой шрифт у вас
JetBrains Mono
один на нас другой на кавказ
Ты на windows пересел?
Нет, это Ubuntu Linux)
напугал)
Убранный вентилятор еле пережил, а тут переход на виндоус)
@@shurik_codes
Слишком длинные ролики, больше 20 минут не хочется смотреть(
Кому-то нужны исчерпывающие ролики, кому-то коротенькие, к сожалению, угодить всем не могу
знаю о таком, а если делать короткую версию и расширенную? будет больше контента, больше лайков и просмотров)@@shurik_codes
@@psevdonim_youtube147 на это всё время надо, которого катастрофически не хватает
Ставь на x2 если куда то спешишь. Человек всё подробно разбирает.