Можно ли в Express выдать ответ. И продолжать тред?

Question

[IDONTSUDO]

router.post('/signin', signin,securityWrite,securityFind,NewWarningNews)

Я делаю систему безопасности как у ВК. И на endpoint авторизации навешана куча обработчиков. Которые ходят в базу, и ищут там записи. Все это длится плюс минус долго 60мс-120мс. Могу ли я как то выдать ответ ,но продолжать поток?

Answer 1

[IDONTSUDO]

res.status(200);

return next();

решилось все так

Answer 2

[Артур Мустафин]

Нужно отказаться от авторизации на основе session cookie, и перейти на авторизацию на основе JWT токена, у него есть payload, и scopes, то есть зоны применимости, включая кастомные свойтсва, время жизни токена, благодаря чему его можно авторизовать на клиенте, без обращения к БД, то есть серверу авторизации не нужно обращаться к базе данных, так как вся информация приходит в payload, и проверяется лишь валидность токена (его время жизни, и применимость к данному ресурсу), то есть вам нужно перейти на OAuth2 авторизацию (на базе JWT-токена), или JWT-авторизацию, реализовать одну из схем, и не использовать обращение к БД везде, где проходит валидация пользователя, ограничиваясь лишь валидацией сервера авторизации (1-2 мс), и сервера, возвращаюшего первоначальный токен с payload для пользователя. Так же, предуспотреть возможность отзыва и обновления токена.

Comments

[IDONTSUDO]

я User-Agnet и IP из запроса беру, и делаю записи в бд. О том, откуда пришел юзер. JWT там и так имеется.

[Артур Мустафин]

IDONTSUDO, Вы почитайте свой вопрос. Вы пишете, что у вас на енподйнт авторизации навешена куча обработчиков, которые читают из базы. Я вам говорю, что ендпоинт авторизации должен находиться на сервере авторизации и ни в какие базы он лезть не обязан.

[IDONTSUDO]

Артур Мустафин, вы не так меня поняли

[IDONTSUDO]

Артур Мустафин, либо вы не понимайте что такое endpoint.

[Артур Мустафин]

IDONTSUDO, Нигде не увидел в ваших ответах вариант, что вы сами не до конца понимаете, что такое эндпоинт авторизации. Вы в этом уверены? После того что я прочел в вашем вопросе, я думаю, что вас заботит обращение к базе, которое тормозит ответ сервера, так вот, к базе, еще раз, обращаться нужно лишь один раз, при выдаче токена, и все, далее для доступа к АПИ, проверке на авторизацю в АПИ, обрашаться к базе не нужно, в том числе в ендпоинте, только если токен просрался или пришел токен на обновление авторизации

[IDONTSUDO]

Артур Мустафин, братишка, сосчитай от 10 до 0 и успокойся. Если ты не понимаешь что такое система безопасности как у ВК такая же у гугла. То сейчас я тебе обьяснюю. Когда юзер заходит с другого браузера айпишника. То ему присылается пуш уведомление о том, что возникло нарушение безопасности. При чем тут JWT токен мне не понятно.

[IDONTSUDO]

Артур Мустафин, и поэтому мне нужно бегать в бд.Потому что эти данные я записываю. Все успокойся, только пожалуйста не нервничай.

[Артур Мустафин]

IDONTSUDO, я понял, спасибо. Так вот, для долгой операции записи в БД, я, братишка, использую совсем другие технологии, в in-memory noSQL например, берется mongoDB и elasticsearch, и в отм числе, кешируется ip адрес,и при этом создается медленная таска (если знаком с Python, то аналогичная таскам celery), и немедленно возвращается ответ от сервера, без ожидания, что произойдет собственно запись в БД. и уже с выдачи следующего токена, как только эта таска будет выполнена (100-200мс) то как раз, в JWT токен попадет IP адрес записанный в базу. Ну как-то вряд-ли человек сможет авторизаоваться быстрее. Плюс к тому ставят таймаут на операции авторизации, чтобы не было DDoS, и прочего веселья. вот так и работаем.

а с JWT еще проще, выдается, братишка токен JWT с payload на IP, указанный клиентом, и при следующей проверке токена, с другого IP адреса, извлекается записанный в токене IP, и сравнивается с IP, переданный клиентом, в случае расхождения, токен инвалиидруется. При это вся информаци япередается клиентом, и чтение/запись в БД не происходит, если токен вадидируется

Удачи и хорошего дня!

[IDONTSUDO]

Артур Мустафин, братишка я делаю частную CRM/ERP систему для триклятых капиталистов. Так что мне тут хайлоад, не нужен. Но спасибо огромное за советы.

[Виталий]

IDONTSUDO, тебе бы чуток с общением скилл прокачать.... выглядишь совсем неадекватно

[IDONTSUDO]

Виталий, я тут должен сидеть и на серьезных щях загонять какие то вещи как говорил мой тимлид, я чо в офисе?

[Виталий]

IDONTSUDO, если ты конченый, то конечно ты никому ничего не должен, и можешь вести себя как последний отброс. Однако, я в глубине души, надеюсь, что ты адекватный и разумно подойдешь к моему замечанию.

[IDONTSUDO]

Виталий, я конченый, мне жаль, и я веду себя как последний отброс. В чем это выражается, мне конечно не очень понятно. Зато вы в очередной раз меня убедили, в том насколько все относительно. И на сколько психологизмы которые используют люди не фальсифицируемы.