Как поддерживать пользователя авторизированным в приложении?

Question

[Эрнэст Фарукшин]

Я хочу сделать мессенджер на JAVA(пока планирую как это должно работать). Появился вопрос как поддерживать пользователя авторизированным, то есть нужно ли вообще что то по типу cookie(Сервер будет построен на мултиплексировании) или просто сохранять в HashMap сокет с логином пользователя(Делал так при написании чата).

Answer 1

[Алексей Черемисин]

Подписанные куки, ключ по куки (сами данные в базе), ключ в заголовках, jwt в куках тли заголовках. Выбирайте, что хотите.

Comments

[Эрнэст Фарукшин]

То есть хранить в мапе нельзя?

[Алексей Черемисин]

Эрнэст Фарукшин, можно!

[Алексей Черемисин]

Но если приложение будет распределенное, то лучше в распределенной мапе, типа redis.

[Эрнэст Фарукшин]

Просто я не понимаю зачем туда сюда мотать эти куки или они помогают в плане защиты?

[Алексей Черемисин]

Эрнэст Фарукшин, а как вы одного пользователя от другого отличаете?

[Алексей Черемисин]

Эрнэст Фарукшин, если постоянно держать открытый сокет, то не нужно ничего туда-сюда гонять. Но если сокет сломается, то ключ в куке поможет восстановить авторизацию без аутентификации.

[Эрнэст Фарукшин]

Алексей Черемисин,

Эрнэст Фарукшин, а как вы одного пользователя от другого отличаете?

Ну так я храню сокет-логин а логин уникален

[Эрнэст Фарукшин]

То есть лучше с каждым запросом от клиента отправлять куки?

[Эрнэст Фарукшин]

А что тогда хранить в кубке( ну номер сессии или лучше всё время передавать логин пароль)?

[Алексей Черемисин]

Эрнэст Фарукшин, с каждым запросом браузер и так отправляет куки! С каждым запросом авторизацию делать не нужно. Просто, если это не браузер, сохраняйте сессию и куки на клиенте. Если открыли долгоживущий сокет, то внутри авторизации не нужно.

[Эрнэст Фарукшин]

Я делаю клиент на Java на комп не в браузере.

[Алексей Черемисин]

Эрнэст Фарукшин, ну так авторизовался, открыл сокет, работаем. Сокет слетел - авторизовываемся заново.
Но если после авторизации передать какой нибудь ключ, то его можно прихранить на клиенте и восстановить сессию без авторизации по этому ключу. Но тогда сервер должен проверить этот ключ на валидность и время жизни, и продолжить сессию с новым сокетом. Это все спокойно делается через куки например., если сервер - http.

Answer 2

[Орхан Гасанлы]

А я например, когда недавно писал приложение использовал возможности Spring Boot.
Spring Boot + Spring Security + JavaFX. За авторизацию и хранение данных о пользователе отвечает Spring...

Comments

[Эрнэст Фарукшин]

Я хочу написать на чистой JAVA

[Алексей Черемисин]

Эрнэст Фарукшин, в результат напишете свой велосипед, который ни расширить ни поддержать в дальнейшем никто кроме вас не сможет. Не нравится спринг, возьмите другие библиотеки, благо их есть и много - apache shiro например.

[Эрнэст Фарукшин]

Алексей Черемисин, Я делаю это чисто из интереса, просто появилось желание сделать на чистой java

[Алексей Черемисин]

Эрнэст Фарукшин, у меня за последний год ровно два таких проекта! Где для себя один написал подобие интерпретатора языка pascal, собственный xml-парсер и базу данных. А второй - сделал подобие spring и osgi.
А вот сейчас матом - все это говно попало в их проекты, которые они вели 3 и 2 года подряд. Как результат - полностью переписываем эти проекты, с нуля! Потому как ни один кусок этого говно-макаронного кода взять не получилось. Вот блин, ни один класс!
С первым проектом из 500 классов осталось 20 новых, интерпретатор заменили на groovy, стандартный парсер и встроенную базу, паскалевские скрипты полностью переписали (а это пол проекта).
Второй проект сейчас тоже в полной переработке. Меняем на нормальный DI и OSGI!
Не пишите свои велосипеды никогда!

[Эрнэст Фарукшин]

Алексей Черемисин, Ну допустим что бы понять как это всё работает на более низкой абстракции можно же я думаю писать велосипед.

[Алексей Черемисин]

Эрнэст Фарукшин, да, можно, и нужно. Но не делайте из этого проект, умоляю. Напишите отдельные компоненты, потестируйте, поэкспериментируйте, посмотрите, посмотрите похожие реализации.
Но вот что ошибочно - сразу писать то, что уже написано сотню раз! Вы ведь не изучили ни спринг, ни сокеты, ни сервлеты, ни основные библиотеки.
Да, вы напишете все, постепенно, самостоятельно. Причем, увы, знаний не получите!
Для того, чтобы изучить сокеты - GUI не нужен! Для изучения DI - не нужно знать рефлегсию, а для рефлексии не нужно писать свой DI. Это как с сортировкой - можно сделать и попробовать разные алгоритмы, чтобы понять, как они работают, но не нужно писать свой метод Collections.sort() со своими алгоритмами.
Можно написать свой парсер http, но не нужно в него загонять свои сокеты, и уж тем более делать на его основе свой сервер, тем более, если вы это делаете в первый раз!
Это все равно, что с нуля сделать автомобиль, все детали вытачивая на станке, от колес до цилиндров и тормозных дисков.

[Алексей Черемисин]

Эрнэст Фарукшин, я могу поехать в лес, нарубить бревен, сделать избушку. Но без знаний она у меня будет херовая, хотя жить мне в ней и придется. Я лучше посмотрю, как строятся избушки, что можно делать, а что нельзя. Для этого мне не нужно строить избу! Мне нужно учиться! Рубить срубы, конопатить, делать стропила, окна и двери, обмениваться опытом. Вот тогда я и себе избу соберу и другим помогу.
Научитесь делать сруб и захотите избу, возьмите готовые двери, окна и крышу.

[Эрнэст Фарукшин]

Алексей Черемисин, Просто сейчас я делаю это для проекта в школу, а изучать Spring достаточно долго (ну вроде как я понимаю). И я не думаю что дальше этого проекта продолжу двигаться в данном направлении, думаю перейти на ML.

[Эрнэст Фарукшин]

А оставлять проект не доделанным не есть гуд

[Эрнэст Фарукшин]

Алексей Черемисин, сколько примерно может занять изучение Spring'а до более менее нормального уровня

[Эрнэст Фарукшин]

NeZabuduTebya, пожалуйста, попрошу без оскорблений

[Алексей Черемисин]

Эрнэст Фарукшин, нужен ли вам спринг? Изучить, для того чтобы пользовать - неделя, изучать полностью - год!

[Алексей Черемисин]

NeZabuduTebya, ну, делайте скидку! Нехорошо так. Я тоже когда-то многое чего хотел сам написать, и писал.

[Эрнэст Фарукшин]

Алексей Черемисин, ну вот именно из за этого я делаю всё велосипедом потому что я доделываю этот проект и думаю перейти в ML

[Эрнэст Фарукшин]

Алексей Черемисин, На самом то деле я его знаю и он сам не лучше меня

[Алексей Черемисин]

Эрнэст Фарукшин, если вашим проектом будет кто-то пользоваться, то похоже вы взяли неподъемную ношу для своего уровня. Если только вы - пишите как нравится.

[Эрнэст Фарукшин]

Он вприципе не знает что такое spring

[Эрнэст Фарукшин]

Алексей Черемисин, Ну этот проект был только для того что бы попробовать эту сферу. Ну не сильно попробую другую

[Алексей Черемисин]

Эрнэст Фарукшин, Пробуйте, пишите! Без этого никак. Я спринг, кстати вообще не пользую года два.

[Эрнэст Фарукшин]

Алексей Черемисин, А чем пользуетесь?

[Алексей Черемисин]

Эрнэст Фарукшин, Google Guice - https://habr.com/ru/post/358278/