Все так и есть - уже просят меня просто рассказать своими словами про тот или иной сервис
Все так и есть - уже просят меня просто рассказать своими словами про тот или иной сервис. Другое дело, что такой подход довольно трудоемкий.
3 541
👍 47
69
Комментарии (69)
Замёрзший Декан
Кабутта долго попросить чатжпт написать эту интереснейшую историю
Крадущийся Судья
Не понятно. На ху йа так все зажимать. Нет клиентов нет выручки нет налога
Алый Повар
Почему нет налога? Налог никуда не делся, платить его придется и пох что нет клиентов
Робкий Киллер
Теперь все поняли, почему я буду делать сайт Максу для раскрутки конструктора?)) чтобы он просто рассказывал какой у него крутой сайт
Робкий Киллер
Крадущийся Судья
Робкий Киллер
Здесь должна была быть реакция с котиком 😻
Тиснёный Витязь
Нахрена такие сложности?
TOTP для кого придумывали?
Froxon KeyKeeper отлично решает такие проблемы.
Робкий Киллер
Не все подписчики блогеров гики - авторизация должна быть на уровне бабушки блондинки
Добрый Павлин
и для этого еще один сервис авторизации?😁
нах надо. Всех привязать к СНИЛС и нефиг
Робкий Киллер
Там смысл в том что SSO позволяет создать единый вход у кого своя экосистема (у Макса экосистема) чтобы посетитель мог быстро перемещаться по сайтам например авторизовался в своем кабинете - зашел на сайт Макса - зашел вскликфрод и т д
Добрый Павлин
осталось узнать, нужно ли это Максу😁
Робкий Киллер
Дареному коню в зубы не смотрят - не понравится - переустановит вордпресс и делов то
Зато я получу реальный кейс который кто-то попытается даже взломать )
Добрый Павлин
В чем проблема сделать одну JWT авторизацию на все свои сервисы и домены? Чет у тебя процессы ради процессов, а должны быть ради бабла, которое уже заплатили😁
Робкий Киллер
Поэтому в опросе - свой вариант в комментариях
Если JWT нормально будет работать в SSO, то почему бы и не да
Самый понятный пример SSO - WorkOS
https://workos.com/
Это будет его упрощенный аналог. Зачем? Чтобы не тратить когнитивную нагрузку на стопятьсот сайтов. Поддерживаешь один, а все остальные подключаются автоматом на уровне виджетов
Добрый Павлин
дав все это уже есть, самый простой способ реализовать OAuth2/OIDC flow на своём Auth Server. По сути это несколько эндпоинтов (/authorize, /token, /userinfo, /jwks)
ну или что-то типа Authentik, Zitadel поднять
Робкий Киллер
Я их уже все потестил ни один из коробки не подошел
Робкий Киллер
С учетом политики РФ все хранить в РФ
Добрый Павлин
ну дак напиши свой сервис JWT пара таблиц и штук 5-7 функций API даже нейронка справится)
Робкий Киллер
Напишу, но не просто, а именно аналог WorkOS чтобы любой смог настроить себе SSO и при желании поставить себе на сервер
В отличии от WorkOS - данные не привязаны к поставщику и можно юзать у себя
Добрый Павлин
ну и это ничем не будет отличаться от той же цидатели, только вайбкоженое)
И также у кого-то не получится завести. А еще и на свой сервер ставить🙈
Робкий Киллер
Всему свое время. Работаю в одну каску. Это не быстро понятное дело
Смысл в том, чтобы не хранить данные юзеров на сайте и делегировать авторизацию. или, если и хранить, то в одном месте (SSO) а на сайте будет просто хэш без привязки к персональным данным, кроме случаев когда пользователь сам того не пожелает сделать их открытыми, например для своей карточки Bio
Но ключевые данные для входа на стороне платформ
Что за хэш и зачем он нужен без данных? Чтобы а) фсб не увидело активность человека б) юзер мог юзать сервисы для своих частных задач в) если хочет коммуникации всегда сможет заполнить Bio
Добрый Павлин
Дак собери солянку Яндекс, Сбер, Вк ID и прочие Тиньковы. Про ФСБ не думай, они сами тебя найдут, когда потребуется
Робкий Киллер
Это не солянка а разные способы авторизации. Так и будет
Про фсб это мем. Например юзер хочет получить выборку постов Макса или фильтр по каталогу - зачем для этого ПНд
Смысл в том чтобы не напрягать юзера - зашел, увидел, победил. Так, мы увеличим количество посетителей и глубину охватов для постоянных юзеров тех, кто не хочет париться с авторизацией и, при этом инкогнито сможет юзать закрытые сервисы. В полной уверенности, что ни владелец сайта, ни фсб не вычислят кто именно и с какого региона делал выборку и нажал кнопку экспорт или задавал вопросы в чате поддержки и т д
Добрый Павлин
Уверен для WP уже есть с десяток подобных плагинов)
Робкий Киллер
Сайт Макса будет на вордпрессе
Добрый Павлин
печально конечно, но таков путь)
Робкий Киллер
Без плагинов так что в радость )
Добрый Павлин
нетуж, давайте вы сами с PHP Поделиями развлекайтесь. У меня это скорее отвращени😭
Робкий Киллер
Шучу же. Порт позволяет привязать раздел сайта к любой технологии когда только статьи на вордпрессе а все остальное на том где лучше работает
blog/ wordpress
chat/ react
catalog/ go и т д
lab/ python
Добрый Павлин
да пофик, но у меня ощущение, что переизобретаешь самокат
Робкий Киллер
Иду в ногу со временем и на подъеме трендов - заранее знал что реклама в телеге все и будущее за коллаборациями
Зевающий Ленивец
так и так все пароли в браузере хранят, по сути куда угодно зайти второй раз это один клик. не понятно какую проблему должно решить.
Робкий Киллер
А как тогда это реализовано в экосистеме яндекс с единым входом или ЕСИА
Добрый Павлин
А ты сертификацию для ESIA сначала пройди)
Робкий Киллер
Авторизация в Яндексе или ВК или в Максе скоро из коробки
Зевающий Ленивец
сча модно, почту ввел тебе приходит ссылка по которой и заходишь, создается сессия со сроком жизни в месяц. ) и ве ) без паролей и прочей мутатни
Робкий Киллер
Вот да и именно об этом вариант в опросе https://t.me/Russian_IT_Business/391135 ссылка на емейл
Полуночный Архитектор
это просто для "удобства" юзера?
Зевающий Ленивец
ага
Полуночный Архитектор
в век мобильного интернета я не вижу тут сильного удобства. Все эти авторизации по емейлу с телефона такое себе извращение
Застывший Строитель
в большинстве регионов уже отсутствие мобильного интернета
Полуночный Архитектор
это не меняет привычки сидеть с телефона, а не ПК/ноута
Робкий Киллер
Не хотел говорить, чтобы не прилетело ссаной тряпкой, но скажу
Мной разработана супер лайтовая авторизация за счет шифрования в картинках и их последовательности пока тестирую и думаю как упростить
Зашел на сайт - сгенерировал три очень легкие png картинки и скачал на телефон с виду типичные мемасики или котики. Сессия создана. Потом даже после очистки кэша заходишь загружаешь их в опрелеленной последовательности и хоп авторизация ) хоть с телефона, хоть с компа
Робкий Киллер
И никаких ПНд
Полуночный Архитектор
а как зайти со второго устройства в тот же акк?
Робкий Киллер
Никак. Но можно разрешить и привязать (авторизовать) другое устройство
Полуночный Архитектор
вот тут и кроется нюанс, если сайту не требуется такой кейс - это еще норм, но когда я разговаривал с ИИшкой год назад (уже мнение могло поменяться), то и IP уже могут назвать ПНд, просто потому что его теоретически можно связать, а емейл-то точно уже.
В общем, на обработку и хранение ты попадаешь полюбас... возможно сейчас мнение ИИ поменялось, а уповать на человека-юриста сложно, у нас пока нет судебной практики
Робкий Киллер
Это если статичный IP под оптоволокно но нюансы есть однозначно
Полуночный Архитектор
а в вашем случае вообще вопрос, зачем нужна авторизация в целом на сайте?
Робкий Киллер
Чтобы снять боль с юзера и он мог юзать сервисы сайта без запарки в авторизации и уверенности что владелец про него не узнает например неудобные вопросы в техподдержку и т д
При этом владелец получает глубину просмотров и пользовательский опыт, а конкретно Макс обкатает защиту от ботов и поведенческих
Полуночный Архитектор
а почему я не могу делать это в режиме анонима, без какой либо авторизации?
Робкий Киллер
Чтобы ботам не отдавать затраты на токены и ресурсы сервера
Полуночный Архитектор
а обычного использования куков недостаточно?
Робкий Киллер
Нет. Каждый юзер это потенциальный лид (кошелек) и он должен быть в базе данных - вокруг его активности строится рекомендательная система и предложения, от которых сложно отказаться без впаривания, без баннеров, без ретаргетинга
Пользователь всегда дышит ровно и рад возможностям сервиса
Полуночный Архитектор
и как это противоречит использованию кук?
Робкий Киллер
Так, что юзер сможет заходить с разных провайдеров и устройств и всегда видеть актуальную информацию под себя и свои интересы
Полуночный Архитектор
мы уже выяснили про то, что метод с картинками = 1 устройство, что равнозначно кукам
Робкий Киллер
С телефона можно яндекс, телегу, ммакс прикрутить
Тиснёный Витязь
1. А зачем им тогда вообще авторизация?
2. Почему тогда все ноют, что их взломали?
Оба вопроса риторические.
Робкий Киллер
Именно поэтому мы делегируем авторизацию бигтехам и поддерживаем только одну свою SSO
Тиснёный Витязь
Так бигтехи как раз и придумали TOTP.
Застывший Строитель
напомните, я просто не в курсе, а что, у нас Госуслуги кому угодно позволяют подключать регистрацию через Госуслуги?.. там вроде не так всё просто
Робкий Киллер
Это просто опрос. А так-то всему свое время
Лохматый Осьминог
Поняли что ты делаешь крутые сайты.
На уровне DEEP SEEK?
Лохматый Осьминог
AVIACASHBACK.com - лучший агрегатор с кэшбэком
Милый Эксперт
Земеры открыли для себя джинсу и нативную рекламу? 😁😁😁 это теме сто лет в обед.
Лохматый Осьминог
Трудоемкий процесс ? Максим, да вы так не переживайте, налоговая у нас хорошо сейчас работает. Ваши труды без внимания не останутся
Комментарии (69)
TOTP для кого придумывали?
Froxon KeyKeeper отлично решает такие проблемы.
нах надо. Всех привязать к СНИЛС и нефиг
Зато я получу реальный кейс который кто-то попытается даже взломать )
Если JWT нормально будет работать в SSO, то почему бы и не да
Самый понятный пример SSO - WorkOS
https://workos.com/
Это будет его упрощенный аналог. Зачем? Чтобы не тратить когнитивную нагрузку на стопятьсот сайтов. Поддерживаешь один, а все остальные подключаются автоматом на уровне виджетов
ну или что-то типа Authentik, Zitadel поднять
В отличии от WorkOS - данные не привязаны к поставщику и можно юзать у себя
И также у кого-то не получится завести. А еще и на свой сервер ставить🙈
Поэтому рассчитывал на авторизацию через телегу
Пока в тройке лидеров Яндекс, ммакс и SSO
Смысл в том, чтобы не хранить данные юзеров на сайте и делегировать авторизацию. или, если и хранить, то в одном месте (SSO) а на сайте будет просто хэш без привязки к персональным данным, кроме случаев когда пользователь сам того не пожелает сделать их открытыми, например для своей карточки Bio
Но ключевые данные для входа на стороне платформ
Что за хэш и зачем он нужен без данных? Чтобы а) фсб не увидело активность человека б) юзер мог юзать сервисы для своих частных задач в) если хочет коммуникации всегда сможет заполнить Bio
Про фсб это мем. Например юзер хочет получить выборку постов Макса или фильтр по каталогу - зачем для этого ПНд
Смысл в том чтобы не напрягать юзера - зашел, увидел, победил. Так, мы увеличим количество посетителей и глубину охватов для постоянных юзеров тех, кто не хочет париться с авторизацией и, при этом инкогнито сможет юзать закрытые сервисы. В полной уверенности, что ни владелец сайта, ни фсб не вычислят кто именно и с какого региона делал выборку и нажал кнопку экспорт или задавал вопросы в чате поддержки и т д
blog/ wordpress
chat/ react
catalog/ go и т д
lab/ python
Мной разработана супер лайтовая авторизация за счет шифрования в картинках и их последовательности пока тестирую и думаю как упростить
Зашел на сайт - сгенерировал три очень легкие png картинки и скачал на телефон с виду типичные мемасики или котики. Сессия создана. Потом даже после очистки кэша заходишь загружаешь их в опрелеленной последовательности и хоп авторизация ) хоть с телефона, хоть с компа
В общем, на обработку и хранение ты попадаешь полюбас... возможно сейчас мнение ИИ поменялось, а уповать на человека-юриста сложно, у нас пока нет судебной практики
При этом владелец получает глубину просмотров и пользовательский опыт, а конкретно Макс обкатает защиту от ботов и поведенческих
Пользователь всегда дышит ровно и рад возможностям сервиса
2. Почему тогда все ноют, что их взломали?
Оба вопроса риторические.
На уровне DEEP SEEK?