ksnk
прохожий
Нет. Он отошел попить кофе и его коллега. с соседнего стола, или хаккер с системой уделенного управления, собирается стырить его аккаунт.
-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Exceptions
- Автор темы Adelf
- Дата начала
не выполняется никакая аутентификация. Юзер аутентифицирован.
Я придумал две слабые причины того, что это не вопрос авторизации и аутентификации.
Можно представить, что админам разрешено менять пароли юзеров, но только если они знают его старый пароль. Звучит глупо, но по крайней мере не невозможно. Таким образом это никакая не аутентификация .
А еще можно представить что в сущности юзер лежит некий секретный токен и зашифрован он паролем!!!
Т.е. при смене пароля надо его расшифровать старым паролем и зашифровать новым паролем. Поэтому старый пароль - это вполне себе атрибут этого действия. И если он не соответствует, то расшифровать не получится.
Вурдалак
Продвинутый новичок
Во-первых, это событие.
Во-вторых, я имею полное право в ответ на команду выдавать список событий.
Я бросил кости — я хочу узнать результат бросания костей, куда двинулась моя фигурка на игровом поле и к чему это привело.
У тебя искажённое представление об CQRS. CQRS ничего не говорит о методах и что они возвращают, там речь лишь про разделение write и read models.
задал мне вопрос - и сам себе ответил
тихо сам с собою
серьезно, давай общаться чуть более связанно
Аутентификация - это проверка не пароля, а пользователя.
Способов узнать пользователя много, я сейчас переписываю сайт на отсутствие паролей вообще.
Давайте не обсуждать "Нужна ли аутентификация по паролю при смене пароля" для абстрактной системы в вакууме. Вариантов чуть более, чем дохрена - от множества 2fa, таких как СМС, usb-ключа, сканера отпечатка пальца в яндекс-деньгах, до личного посещения мной филиала банка с паспортом. Грубо говоря, если вы не пишите ничего сложнее интернет-магазина - это не значит, что аутентификация - это проверка пароля.
Аутентификация бывает разных уровней. Например, для входа в банкинг и просмотра баланса достаточно пароля, для платежа нужна аутентификация через третье устройство, а для смены пароля мне надо идти в отделение с паспортом.
Способов узнать пользователя много, я сейчас переписываю сайт на отсутствие паролей вообще.
Давайте не обсуждать "Нужна ли аутентификация по паролю при смене пароля" для абстрактной системы в вакууме. Вариантов чуть более, чем дохрена - от множества 2fa, таких как СМС, usb-ключа, сканера отпечатка пальца в яндекс-деньгах, до личного посещения мной филиала банка с паспортом. Грубо говоря, если вы не пишите ничего сложнее интернет-магазина - это не значит, что аутентификация - это проверка пароля.
Аутентификация бывает разных уровней. Например, для входа в банкинг и просмотра баланса достаточно пароля, для платежа нужна аутентификация через третье устройство, а для смены пароля мне надо идти в отделение с паспортом.
Последнее редактирование:
согласен, что это событие, надо это обдумать
cqrs - это про контракты в программировании, не про модели
Вурдалак
Продвинутый новичок
https://martinfowler.com/bliki/CQRS.html
Вероятно, ты путаешь с CQS. CQS относится к CQRS примерно как диверсификация рисков в экономике к, допустим, поговорке «не клади все яйца в одну корзину». Идея одна, но семантические уровни разные: в одном речь про методы, а в другом — как раз про модели.
Существует распространённое заблуждение про то, что command bus — это «fire and forget», что commands «one way only». Это не так. Команды как раз по своей природе синхронны, мы должны как минимум получать отклик в виде успеха/неуспеха. Из command bus можно возвращать много интересного и это никак не противоречит CQRS: версию aggregate root, список ошибок, событий, id-шники событий (если у тебя event sourcing), etc.
Даже если проводить некоторую аналогию с INSERT, как ты любишь, INSERT может вернуть ошибки, он неявно возвращает новый id (AUTO_INCREMENT), он также неявно возвращает список warning'ов. Смысл CQRS не в том, что метод обязан быть void, а в том, что мы работаем с разными концептуальными моделями при записи и чтении: в первом случае это реальная модель, а при чтениях — лишь её какая-то проекция, которая может очень сильно отличаться от оригинала.
таки есть и другое мнение
https://microservices.io/patterns/data/cqrs.html
CQRS - как принцип построения микросервисной архитектуры, проблема "fire and forget" возникает, и решается в "хореографии" дополнительным кодом отработки отката операций назад по цепочке во всех задействованных сервисах
Вурдалак
Продвинутый новичок
Я говорил про команды: там «fire and forget» быть не должно. Этот термин («fire and forget») достаточно часто использовался в контексте command bus, но на мой взгляд (и не только на мой — мнение того же Greg Young'а) это некорректно.
P.S. >CreateOrder
Заказы обычно размещают (to place), реже используют «to make». Немного напрягает, когда пытаются использовать терминологию, звучащую как rocket science, а отголоски CRUD до сих пор остаются. Это дерьмо очень плотно вошло в индустрию, если для многих «to create an order» звучит нормально.