Очень классный урок, респект! Большое спасибо за труд!)

Очень высокий уровень объяснения , безумно доступно в понимании и приятно смотреть ваши видео!

Непростая, но важная тема. Спасибо за интересную и понятную визуализированную подачу, Александр.

Очень трудно объяснять очень просто. Респект!

Спасибо Вам за такие видео. Как бальзам на душу.

Как раз дошел до этой темы и тут уже видос, очень вовремя))Спасибо огромное!

Авотризация это конечно очень важно! Недавно осилил создание jwt токена с авторизацией по oauth2 через гугл и все получилось. Ваши советы как писал на почту, очень помогли. Спасибо вам, что стало все получаться по этой теме! Еще бы хотелось разобраться получше с интеграционным тестированием контрллеров и юнит мокито)🙂👍

Спасибо за материал!

топ ютубер! спасибо тебе за твою работу!

Получил удовольствие от вашей работы. Спасибо. Вопрос: ожидать ли граблей если использовать вместо keycloak Azure Entra Id а в качестве клиента приложения desktop application (Delphi)?

Спасибо!

Ставлю лайк, пишу коммент.

Вот это годнота подъехала

Попробуй oidc без keycloak чисто со спринг бутом. Вот тут уже надо поковыряться. А так видео хорош. Лайк

Здравствуйте! Скажите пожалуйста, сталкивались ли вы на практике с реализацией RegisteredClientRepository не в форме InMemoryRegisteredClientRepository ? Верно ли понимаю, что в таком случае, как вариант, потребуется хранить данные клиентов-приложений, участвующих в межсервисном взаимодействии, в БД ?

дал бы хоть докер имаджи, подергать хоть эти проги для закрепления, так сказать, а так, конечно, и за это спасибо!

Отличный ролик, спасибо. 1:09:50- а скажите, для чего включен implisit flow и direct access grant в публичном клиенте, если по факту достаточно standart flow?

спасибочки

Здравствуйте, Александр Подскажите пожалуйста, планируете ли снять видео урок с реализацией микросервисной архитектуры на примере, с api gateway, итд ? Было бы очень полезно Спасибо

Очень здорово! Про тестирование что-нибудь не планируешь? юнит, интеграционное?

Добавь, пожалуйста, этот ролик в плейлист Spring Security в деталях

Что Вы за шрифт используете тот рукописный? красивый очень! 😍

Привет! Такой вопрос. У себя на проекте надо было вкатить OAuth 2.0 с красивой формочкой. Но не хотелось мучаться с аус флоу на фронте и решили просто через гейтвей прокинуть по /login урлу server-side-renderred формочку, которую даёт спринг. Только ещё кастомизировали, чтобы выглядела, как хотел заказчик: в стиле всего сайта. Как думаешь, это ок решение? Поджимали сроки, заказчику на презентацию проекта нужна была красивая формочка. Есть ли смысл переделывать на "трушный" фронтед и какие минусы у этого подхода (кроме UI составляющей, который придётся менять ещё и в шаблонах таймлифа. если заказчик захочет поменять цвет кнопок)

Спасибо за материал. Немного непонятно, почему Вы отнесли нативные приложения к "не безопасным".

публичный клиент не может проходить аутентификацию так как невозможно хранить секретные данные ---- сейчас все это допиливается так что даже консоль разраба не открыть(при попытке все сразу затирается + невозможно сделать вообще ничего кроме как закрыть пустую панель разраба в браузере, простой пример - кассы онлайн, которые работают через браузеры, но это частные случаи.. ) но в целом ролики у вас отличные!

Хороший человек

23:00 Поясните пожалуйста) Вы говорите, что OAuth предназначен для взаимодействия между независимыми приложениями, и если есть свой клиент и свой бекенд, то OAuth не нужен. Но если взять пример мобильных игр с онлайн составляющей - абсолютно везде есть авторизация через гугл, фейсбук и прочее. То же самое часто есть в обычных мобильных приложениях. Т.е. я не могу понять, почему они это используют? Для возможности быстрого логина?

Привет! Отличные видосы, но пожалуйста поставь стандартный шрифт в своих видео. Данный шрифт конечно красивый, но очень трудно его читать и слушать одновременно, поясню так как мы привыкли (со школы) к тексту в шрифте похожему Times New Roman, его наш мозг автоматически интерпретирует , а твой шрифт нужно читать и не всегда успеваешь ( ну медленно я читаю) за словами.

Привет! Разворачиваю spring authorization server, как замену keycloak. Не находил в русскоязычном сегменте разбора подробного как он устроен, так как проект относительно новый, на текущий момент 1.2.1 версия. Будет здорового если получится у тебя сделать по нему видео.

Как происходит 10. Пункт - Добавление события в календарь? То есть как клиент общается с сервисом ресурсов, он из JWT токена берет информацию об правах или или обращается затем к сервису авторизации?

Здравствуйте. Я сейчас делаю веб приложение с бэком. Веб будет на реакте. Суть приложения: администратор выкладывает запрос на транспортировку, а компании на него отвечают. Само собой есть регистрация/авторизация. Нужно ли для такого приложения использовать OAuth 2.0 и OpenID Connect? На данный момент всё реализовано на jwt токенах. В видео вы сказали, что особо смысла нет. Можете более детально объяснить почему?

Насчёт ID токена тоже не понятно. Он же может прилететь внутри body вместе с аксесс токеном, даже если его не запрашивать в явном виде на этапе аутентификации.

Привет! Очень понравилось видео :) Что думаешь насчет того, чтобы сделать гайд по spring-boot-authorization-server?

Александр, здравствуйте! Подскажите, пожалуйста, а исходный код выложите?

А по SAML будет что-то подобное?

Привет! Можешь подсказать пожалуйста насчёт необходимости использовать OAuth. У меня 2 сервиса(java и php), оба имеют одну и ту же базу данных. Php взаимодействует с frontend(написан на каком-то шаблонизаторе и реакт). Они разрабатывались и жили отдельно, теперь же(в новом этапе) необходимо в frontend добавить(условно) новый раздел, в котором будет отображаться какие-то данные возвращаемые из java сервиса. Так как у каждого сервиса своя авторизация, то юзеру придётся несколько раз авторизоваться, если он захочет зайти и в java раздел и в основные. Я изначально думал сделать java сервисом ресурсов, а php клиентом, а сервисом авторизации бы выступал keycloak, но мне что-то кажется не правильным в таком взаимодействии. Правильно ли так делать? Если нет, то как мне лучше реализовать SSO?

Я что то все равно не понял разницу между OAuth 2.0 и OpenID)) И то и то, все спецификации. Но 2.0 имеет абстрактное описание и не подразумевает использование именно JWT. Но OpenId регламентирует использование именно JWT. Как то так что ли?)

спецификация oauth 2.0 размазана по 17-20 rfc-шкам