Как мы переписали аутентификацию в распределённом приложении

Безопасность

Системы прав доступа
Java
Микросервисы, SOA
Микросервисы
Безопасность

Доклад принят в программу конференции

Целевая аудитория

Разработчики и архитекторы

Тезисы

Перевод платформы партнёрских отношений МТС с устаревшего внутреннего SDK и агента (покрывавшего все аспекты безопасности) на современный стек, когда есть 10+ сценариев аутентификации (в т.ч. Oauth2). Расскажу зачем и как:
- смотреть cheat sheet-ы от OWASP
- выбирать между client-side и server-side клиентом OAuth2
- применять шлюзы типа Spring Cloud Gateway или YARP и подобные
- писать аутентификационные фильтры для Spring Security
- писать аутентификационные фильтры для Spring Cloud Gateway
- проектировать структуру внутреннего токена и данных сессии
- планировать этапы перехода
Тезисы:
- опыт OWASP помогает и направляет
- легаси зерно незазорно повторить
- MSA накройте шлюзюм
- как правило, вам нужен server-side клиент OAuth2

Архитектор, ранее разработчик .NET, менеджер, аналитик, BI-разработчик и другое. 20 лет в индустрии.

Видео