o que vocês estão usando para lidar autenticação em SPA por aí?

[Cirdes Borges]

Oi pessoal, 

Estou construindo um backend que serve apenas de API para um front em React e como interface administrativa com ActiveAdmin. Me deparei com algumas opções de Authentication voltadas para API e gostaria de saber o que vocês estão usando e recomendam. 

Cenário 1: Devise + Token Auth

Utilizar o bom e velho Devise para lidar com autenticação e adicionar alguma gem para cuidar dos tokens.

- https://github.com/waiting-for-dev/devise-jwt

- https://github.com/lynndylanhurley/devise_token_auth

- https://github.com/gonzalo-bulnes/simple_token_authentication

- https://github.com/adamniedzielski/tiddle

Cenário 2: Serviço externo

Utilizar serviços externos como Amazon Cognito ou Firebase Authentication

Qualquer outra sugestão é sempre bem-vinda!

Valeu

Cirdes Henrique  

[Thiago Diniz]

Vai de JWT, Cirdes.

Thiago Diniz

@dinizz

--
Você recebeu essa mensagem porque está inscrito no grupo "Frevo on Rails" dos Grupos do Google.
Para cancelar inscrição nesse grupo e parar de receber e-mails dele, envie um e-mail para frevo-on-rail...@googlegroups.com.
Para mais opções, acesse https://groups.google.com/d/optout.

[Lailson Bandeira]

Eu começaria com alguma opção baseada em tokens, Cirdes. Acho que JWT só faz sentido em um cenário com muitos microserviços e/ou onde consultar o banco de dados seja muito caro. Até porque JWT tem também algumas desvantagens, sendo a principal delas a impossibilidade de revogar um token (aka deslogar um usuário pelo servidor).

--

LAILSON BANDEIRA

[Lailson Bandeira]

Na vdd, é até possível revogar um token JWT, só não é muito fácil: 

https://stackoverflow.com/questions/31919067/how-can-i-revoke-a-jwt-token/35998991

Até porque isso não está implementado na maioria das bibliotecas.

--

LAILSON BANDEIRA

http://lailson.me/

[Cirdes Borges]

Fala pessoal, obrigado pelos comentários.

Estou procurando mesmo uma opção baseado em tokens, sejam eles JWT ou não. JWT como Lailson falou tem suas vantagens e desvantagens. Mais do que a tecnologia eu estou interessado em libs ou external services que eu possa utilizar, me sinto tendo que reinventar a roda em ter que fazer todo o mecanismo para gerir os tokens. 

Essa lib https://github.com/waiting-for-dev/devise-jwt implementa autenticação com JWT e permite que ele possa ser expirado, o que faz o JWT deixar de ser stateless e, de certa forma, quebra o paradígma para o qual ele foi projetado.

O meu problema é que eu só achei projetos imaturos para fazer algo que eu achava que todo mundo estava fazendo (token auth, rails api). Você não tem utilizando SPA nos projetos ?

Abraços! 

JWT 

https://x-team.com/blog/my-experience-with-json-web-tokens/

http://cryto.net/~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/

Cirdes Henrique                 

[Lailson Bandeira]

Nos últimos projetos que fizemos aqui na Guava, usamos JWT. Mas aí acabamos tendo que implementar soluções pra revogar o token, o que, como vc explicou, acaba deixando o JWT menos vantajoso…

LAILSON BANDEIRA

http://lailson.me/

[Cirdes Borges]

Lailson, e vocês implementaram o JTW como?  Firebase Auth?  Alguma Gem? 

Cirdes Henrique                 

[Lailson Bandeira]

Cirdes, nós usamos a gem jwt mesmo. 

--

LAILSON BANDEIRA

[Brunno Gomes]

Opa!

Sei que a essa altura Cirdes já deve ter implementado, mas pra quem se deparar com isso mais à frente, estou usando a gem Knock, que faz essa parte do JWT no Rails de forma bem transparente.

https://github.com/nsarno/knock

Ela usa a própria gem JWT por baixo.

Brunno Gomes
+55 81 97115-0905