Механизмы авторизации в web-приложениях на Rust

[Katrychenko]

Каждый год появляется новый супер фреймворк на котором всем срочно нужно научиться писать. А я все ещё успешно пишу на чистом php. Уже 12 лет

[drunkmowgli]

На мой взгляд, данная статья не несет в себе никакого призыва к использованию того или иного решения, она лишь освещает тему авторизации и одного из самых популярных решений для ее реализации, а так же возможной альтернативы при использовании Rust в качестве ЯПа.

[1ntrovert]

Сочувствую

[Kazurus]

Казалось бы при чём здесь rust. Кто-то и на С пишет значительно больше, чем 12 лет. Это не повод ограничить себя одним php, конечно, если программирование чуть больше, чем просто деньги. Для общего развития всегда полезно посмотреть как живут другие люди. Попробовать на реальных задачах применение разных идей и концепций (clojure, rust, ocaml, haskell).

[alexmixaylov]

Я знаю одного программиста который пишет на чистом PHP и ненавидит фреймворки и не пользуется библиотеками тоже.

Все пишет сам и это ужасно. Просто нет слов. Не посчастливилось согласится на один проект, а потом выяснилось, что он ведущий разработчик и диктует правила. Короче печаль....

[mkpankov]

Используем casbin — по сути единственный фреймворк, если у вас не actix. Защищаем доступ к GraphQL API на уровне отдельных точек доступа. В качестве веб-фреймворка warp.

Работает, но появились следующие проблемы:

• описание политик действительно чудовищно повторяющееся. У нас не супер-большое API, но файл контроля доступа к нему уже требует больших усилий по его поддержке;
• как следствие, нужно специально следить, не забыл ли автор точки доступа вставить проверку на авторизацию. По хорошему, тут нужно допиливать интеграцию с warp, чтобы авторизация была частью типа, но этого пока не делали.

[fluke]

Пытались сделать систему подобную AWS IAM с помощью OPA, но наткнулись на проблемы с масштабируемостью. С тех пор посматриваем на возможность пересесть на что-то более производительное и смотрели в сторону OSO, но пока ещё не щупали.