Closed SebastianCelejewski closed 8 years ago
mrozim78
commented
8 years ago A co do autoryzacji może użyć sprawdzonego rozwiązania oauth czy oauth2 ? Jest już oficjalne wsparcie oparte o Spring Security: http://projects.spring.io/spring-security-oauth/. Trzeba by temat jednak rozpoznać.
ProgramerAndroid
commented
8 years ago Do autoryzacji OK, ale z tego co wiem to w standardzie OAUTH2 nie ma nic na temat jak w bezpieczny sposób rozwiązać rejestrację nowych użytkowników a to stanowi nasz największy problem.
W dniu 5 grudnia 2015 09:34 użytkownik Mrozi notifications@github.com napisał:
A co do autoryzacji może użyć sprawdzonego rozwiązania oauth czy oauth2 ? Jest już oficjalne wsparcie wraz Spring Security: http://projects.spring.io/spring-security-oauth/. Trzeba by temat jednak rozpoznać.
— Reply to this email directly or view it on GitHub https://github.com/openpkw/openpkw-weryfikator/pull/17#issuecomment-162161308 .
mrozim78
commented
8 years ago Tylko moim zdaniem to może nie bawmy się w klucze a użyjmy TLS z oauth2 (jako autoryzacji). I będzie autoryzacja na login i hasło. Skoro przyjeliśmy założenie , że będą to mężowe zaufania. To po prostu będziemy im dodawać sami konto w systemie i będą się tak autoryzować. Czyli nie robił bym na razie dodawania kont z komórki a z jakiegoś menu administracyjnego w backendzie.
Zapraszam do review. Poproszę o komentarze i sugestie na temat formatu URLi, implementacji, testów i sugestii na temat dalszego kierunku rozwijania tego fragmentu funkcjonalności.
Schematy URLi są następujące: POST /users/ - rejestracja nowego użytkownika GET /users/{email} - pobranie danych użytkownika DELETE /users/{email} - usunięcie użytkownika
POST /sessions/ - utworzenie nowej sesji (czyli logowanie do systemu)
Założenia:
Jak zbudować i uruchomić testy jednostkowe mvn clean package
Jak uruchomić automatyczne testy akceptacyjne mvn verify