Projekt

Obecné

Profil

Úkol #8826

uzavřený

OpenAuth - autorizacni server

Přidáno uživatelem Václav Klecanda před asi 7 roky(ů). Aktualizováno před více než 4 roky(ů).

Stav:
Dokončen
Priorita:
Normální
Přiřazeno:
-
Kategorie:
-
Cílová verze:
-
Začátek:
10.12.2017
Uzavřít do:
% Hotovo:

0%

Odhadovaná doba:
Smlouva:

Popis

Nelibilo se mi nasazovani Keyclocku (https://redmine.pirati.cz/issues/8602). Muj PARO projekt vyzaduje API, ktere keyclock mozna nabizi, mozna ne, kazdopadne jsem nepojal presvedceni, ze by se jeho nasazovatele hrnuli do zprovozneni takoveho API. Pobidky tipu "stahni si to na local a prijd si na to sam" jsem nebral, protoze takle to IMHO fungovat nema.
Nikde jsem ani nenasel nejakou specifikaci, co a proc teda potrebujeme. A tak jsem se jal napsat vlastni server:
Viz: https://github.com/vencax/open-auth a zborit/proniknout to je mozne zkouset na https://radiant-chamber-14537.herokuapp.com . Umi to:

Aktualizováno uživatelem Martin Rejman před asi 7 roky(ů)

Jaký způsobem je zajištěna kvalita kódu, jeho bezpečnostní audit ?

Jaké jsou možnosti napojení a synchronizace s LDAP ?

Jaká je podpora SAML 2.0, a social login pomocí Facebook, Google, Twitter a dalších ?

Jaká ja podpora dvoufaktorové autorizace ?

Aktualizováno uživatelem Václav Klecanda před asi 7 roky(ů)

1) jsou tam testy, je dodrzovan stadard.js a audit muze udelat nekdo ze spolupracujich lidi nebo jejich znamy (zaznamenal jsem nekoho z MFF od Jitky Novotne?
2) umoznuje LDAP vubec nepouzit a nekomplikovat si tak IT a zivot :)
3) pokud bude poptavka po social auths, tak neni problem dodelat
4) zadna. Nemyslim si, ze by to bylo dulezite resit v kontextu toho, ze nemame ani fungujici zakladni systemy. V budoucnu to neni problem dodelat, pokud se rozhodnem, ze to je tak nutne.

Aktualizováno uživatelem Jitka Novotná před téměř 7 roky(ů)

Vaclav Klecanda napsal:

1) jsou tam testy, je dodrzovan stadard.js a audit muze udelat nekdo ze spolupracujich lidi nebo jejich znamy (zaznamenal jsem nekoho z MFF od Jitky Novotne?

Ti lidi které jsem zmiňovala by dělali testy hlasovacímu systému na principu dvou autorit - tj něčemu co je obecně užitečné, relativně jednoduch a zatím nenapsané. K tomu testovat tisícátý další autentifikační server je opravdu nepřesvědčím.

2) umoznuje LDAP vubec nepouzit a nekomplikovat si tak IT a zivot :)
3) pokud bude poptavka po social auths, tak neni problem dodelat

Tohle naráží na hlavní problém co v tom vidím. Tedy že je to vymýšlení kola. LDAP je sice dost hranaté kolo a dnes by ho šlo udělat líp, ale je používaný a používají ho další věci stejně jako Keycloak využívá sposutu dalších věcí. Svět je složitý a jestli nechceme řešit exponenciálně napojování na další věci tak se musíme držet otevřených standardů. Doufám že se najde někdo jiný kdo zvedne vlaku a zkusí napsat konkurenta LDAPu a prosadit ho. (Podobně jako Matrix se snaži nahradit XMTP a IRC) Jen nechci aby tento úděl si braly piráti právě proto že máme ať uz jako strana nebo jako TO mnohem důležitější věci na práci.

4) zadna. Nemyslim si, ze by to bylo dulezite resit v kontextu toho, ze nemame ani fungujici zakladni systemy. V budoucnu to neni problem dodelat, pokud se rozhodnem, ze to je tak nutne.

Dvoufázozou autentifikaci dlouhodobě potřebujeme kvůli hlasování. Helios je taková improvizovaná záplata, je asi bezpečnějši než forům ale k tomu aby byl fakt bezpěčný má daleko. (Zastaralé knihovny, relativně monoliticky kód, nedostatečná uživatelsko/kryptograficka dokumentace)

Psát si vlastní systémi sami je šaptně a je to peklo do kterého se nechceme dostat.
(Jo i to že chci psát vlastní kryptograficky volební sofw považuju za dost špadně a mnohem radši bych nasadila nějaký aspoň semi ucházející)

Aktualizováno uživatelem Václav Klecanda před téměř 7 roky(ů)

1) Ok, respekt.
2) LDAP je jen storage. Nevidim v nem zadnou vyhodu krom samych nevyhod. Ani jsem nikdy nevidel seznam sluzeb, ktere pirati pouzivaji a ktere by ho bezprostredne potrebovali.
4) Ja si to nemyslim a kdo nas rozsoudi?

At tak ci onak. Muj soft je, funguje, muze byt zfleku nasazen a umi, to co potrebuje muj projekt pro hlasovani a to co IMHO bude potrebovat jakykoli dalsi, ktery bude mit vazbu na usery/groups.

Aktualizováno uživatelem Martin Rejman před téměř 7 roky(ů)

  • Stav změněn z Nový na Dokončen

Keycloak bude nasazen jako SSO server pro centrální řízení přihlašování a jeho správu.

Výše uvedené nepředstavuje bohužel alternativu pro potřeby, které byly identifikovány.

Aktualizováno uživatelem Jan Hamal Dvořák před více než 4 roky(ů)

  • Projekt změněn z 124 na Technické oddělení

Také k dispozici: Atom PDF