Úkol #8826
uzavřenýOpenAuth - autorizacni server
0%
Popis
Nelibilo se mi nasazovani Keyclocku (https://redmine.pirati.cz/issues/8602). Muj PARO projekt vyzaduje API, ktere keyclock mozna nabizi, mozna ne, kazdopadne jsem nepojal presvedceni, ze by se jeho nasazovatele hrnuli do zprovozneni takoveho API. Pobidky tipu "stahni si to na local a prijd si na to sam" jsem nebral, protoze takle to IMHO fungovat nema.
Nikde jsem ani nenasel nejakou specifikaci, co a proc teda potrebujeme. A tak jsem se jal napsat vlastni server:
Viz: https://github.com/vencax/open-auth a zborit/proniknout to je mozne zkouset na https://radiant-chamber-14537.herokuapp.com . Umi to:
- API (a neni to nezabezpeceny jako graph.pirati.cz).
- registraci, verifikaci + zapomenute heslo - vse (i mail templates) plne modifikovatelne
- login davajici JWT token s takovym obsahem, co je potreba
- users v DB = snadna migrace stavajicich
- jestli to bude nutne pridam OIDC (easy s https://github.com/panva/node-oidc-provider) Cast diskuse je https://redmine.pirati.cz/issues/8602?issue_count=87&issue_position=18&next_issue_id=8343&prev_issue_id=8604#note-6 Diskuse vitana, feedback k projektu prosim na githubu.
Aktualizováno uživatelem Martin Rejman před téměř 7 roky(ů)
Jaký způsobem je zajištěna kvalita kódu, jeho bezpečnostní audit ?
Jaké jsou možnosti napojení a synchronizace s LDAP ?
Jaká je podpora SAML 2.0, a social login pomocí Facebook, Google, Twitter a dalších ?
Jaká ja podpora dvoufaktorové autorizace ?
Aktualizováno uživatelem Václav Klecanda před téměř 7 roky(ů)
1) jsou tam testy, je dodrzovan stadard.js a audit muze udelat nekdo ze spolupracujich lidi nebo jejich znamy (zaznamenal jsem nekoho z MFF od Jitky Novotne?
2) umoznuje LDAP vubec nepouzit a nekomplikovat si tak IT a zivot :)
3) pokud bude poptavka po social auths, tak neni problem dodelat
4) zadna. Nemyslim si, ze by to bylo dulezite resit v kontextu toho, ze nemame ani fungujici zakladni systemy. V budoucnu to neni problem dodelat, pokud se rozhodnem, ze to je tak nutne.
Aktualizováno uživatelem Jitka Novotná před téměř 7 roky(ů)
Vaclav Klecanda napsal:
1) jsou tam testy, je dodrzovan stadard.js a audit muze udelat nekdo ze spolupracujich lidi nebo jejich znamy (zaznamenal jsem nekoho z MFF od Jitky Novotne?
Ti lidi které jsem zmiňovala by dělali testy hlasovacímu systému na principu dvou autorit - tj něčemu co je obecně užitečné, relativně jednoduch a zatím nenapsané. K tomu testovat tisícátý další autentifikační server je opravdu nepřesvědčím.
2) umoznuje LDAP vubec nepouzit a nekomplikovat si tak IT a zivot :)
3) pokud bude poptavka po social auths, tak neni problem dodelat
Tohle naráží na hlavní problém co v tom vidím. Tedy že je to vymýšlení kola. LDAP je sice dost hranaté kolo a dnes by ho šlo udělat líp, ale je používaný a používají ho další věci stejně jako Keycloak využívá sposutu dalších věcí. Svět je složitý a jestli nechceme řešit exponenciálně napojování na další věci tak se musíme držet otevřených standardů. Doufám že se najde někdo jiný kdo zvedne vlaku a zkusí napsat konkurenta LDAPu a prosadit ho. (Podobně jako Matrix se snaži nahradit XMTP a IRC) Jen nechci aby tento úděl si braly piráti právě proto že máme ať uz jako strana nebo jako TO mnohem důležitější věci na práci.
4) zadna. Nemyslim si, ze by to bylo dulezite resit v kontextu toho, ze nemame ani fungujici zakladni systemy. V budoucnu to neni problem dodelat, pokud se rozhodnem, ze to je tak nutne.
Dvoufázozou autentifikaci dlouhodobě potřebujeme kvůli hlasování. Helios je taková improvizovaná záplata, je asi bezpečnějši než forům ale k tomu aby byl fakt bezpěčný má daleko. (Zastaralé knihovny, relativně monoliticky kód, nedostatečná uživatelsko/kryptograficka dokumentace)
Psát si vlastní systémi sami je šaptně a je to peklo do kterého se nechceme dostat.
(Jo i to že chci psát vlastní kryptograficky volební sofw považuju za dost špadně a mnohem radši bych nasadila nějaký aspoň semi ucházející)
Aktualizováno uživatelem Václav Klecanda před téměř 7 roky(ů)
1) Ok, respekt.
2) LDAP je jen storage. Nevidim v nem zadnou vyhodu krom samych nevyhod. Ani jsem nikdy nevidel seznam sluzeb, ktere pirati pouzivaji a ktere by ho bezprostredne potrebovali.
4) Ja si to nemyslim a kdo nas rozsoudi?
At tak ci onak. Muj soft je, funguje, muze byt zfleku nasazen a umi, to co potrebuje muj projekt pro hlasovani a to co IMHO bude potrebovat jakykoli dalsi, ktery bude mit vazbu na usery/groups.
Aktualizováno uživatelem Martin Rejman před více než 6 roky(ů)
- Stav změněn z Nový na Dokončen
Keycloak bude nasazen jako SSO server pro centrální řízení přihlašování a jeho správu.
Výše uvedené nepředstavuje bohužel alternativu pro potřeby, které byly identifikovány.
Aktualizováno uživatelem Jan Hamal Dvořák před více než 4 roky(ů)
- Projekt změněn z 124 na Technický odbor