Mantap, pak. Yang ketinggalan paling penjelasan terkait penggunaan access_token tadi dari sisi backend/resource server ke auth servernya, dan soal refresh_token. Mungkin bisa dibahas di materi selanjutnya. Ditunggu juga untuk best practice menggunakan Keycloak, terutama untuk bisa bikin custom field sendiri dari yang udah ada.
Pak Eko, saya request video tentang oterisasi resource kayak gambar dan video. Sekarang kan kita kebanyakan pakai third party storage provider, nah kalau dari situ kan by default semuanya itu accesible. Bagaimana kita, mensinkronkan proses oterisasi server kita dengan server storage provider sehingga hanya orang yang berhak mendapatkan resorce itu yang mendapatkannya.
Pak Eko, tolong bahas cara maintain data deletion di db. Concernnya, record nya mau dipake untuk audit. Bagaimana cara design best practice nya, pake trigger, mirror table, atau yg lain? Trims
Nanya kang eko, bagaimana proses pengecekan di resource server kalo access token yang dikirimkan itu ada dua jalur pengiriman? Client aplikasi mobile mengirimkan access token lewat request header, Client aplikasi web mengirimkan access token lewat request cookie? apakah bakal dibahas di episode selanjutnya?
tokennya apakah perlu di verify ke authorization server setiap melakukan request di client ? atau ketika disimpan cookies / local storage bebas mlakukan request tnpa di verify ke authorization server ?
mau nanya pak, ini bagaimana si resource server (ex toko online resource server) memvalidasi data token yang dikirimkan client benar dari authorization server, terimakasih
Apakah resource server perlu melakukan validasi ke authorization server ketika ada request? kalo engga, gimana cara resource server memastikan token itu valid / engga, kan bisa aja dimanipulasi di client kalo iya, bagusnya komunikasi antara resource server dengan authorization server itu pake protocol apa ya?
validasi cuman dilakukan diawal, saat penukaran Auth Code -> Access Token. setelah itu resource server tidak perlu lagi memvalidasi tiap request. cara ngevalidasi token valid dan ngga dimodifikasi ya pake JWT. bisa pake shared secret key. tinggal validasi aja signature JWT-nya (jadi validasi dilakukan di internal resource server). klo mau lebih aman bisa pake public-private key juga bisa, nanti authorization server generate access token pake private key, dan nanti resource server ngevalidasi pake public key.
berarti konsep ini tuh yang dipake sama oauth google sistem gitu kan yak pak? misal dari website itu redirect ke google oauth -> input data -> ngirim authorization code ke server (backend) -> lalu server nya ngubah authorization code ini jadi access token -> lalu access token dikirim ke web nya dan disimpan di web nya. bener gak pak?
Authorization code di sso itu bentuknya apa ya pak? apakah redirect url yang kaya "?authCode=base64" gitu? pernah coba keycloak berarti sama dong kaya pakai keycloak?
Pak eko ijin bertanya, berarti yang disimpan di client itu cukup access token nya aja ya ? Dari dulu seringnya yang disimpan di client (cookies) itu satu object data user . Jadi kalo data user di cookies ada artinya udah login begitu 😅 Mohon nasihatnya pakk
menyala pak eko, mau nanya pak, misal tadi kan kita sudah login di SSO Oauth, terus di halaman website lain mau login dan diredirect ke SSO lagi, itu bagaimana SSO tau usernya sudah login pak sedangkan user ngak input username password lagi ? dari user apa ngirim token atau authorization code yang sudah ada sebelumnya atau bagaimana Pak ?
@@ProgrammerZamanNow owh, berarti ketika user sukses login pertama kali dia ngak cuma nyimpan authorization code tapi session SSO nya juga ya pak ? Terus kalo misalnya web login dan web lainnya nerapin sistem JWT token apa owner nyimpan jwt token web login dan juga token setiap website lainnya pak ?
Punten, mau nanya kang eko maap agak panjang tulisannya😅, di penjelasan ini ketika user ingin login, maka user akan di redirect ke page login milik authorization server kemudian isikan uname dan passwd, jika berhasil akan diberikan auth code untuk selanjutnya ditukar menjadi access token. misal casenya authorization server dan client web app ini 1 domain, apakah memungkinkan jika proses login sdh berhasil authorization server akan sekaligus juga nge set cookiesnya untuk domain tersebut, agar client web app ini enggak perlu nukar auth code lagi, cukup cek jika tokennya exist maka sdh login dan bisa digunakan untuk melakukan akses ke resources server. itu aja kang, semoga bisa dijawab, nuhun kang
@@ProgrammerZamanNow kalau misal berbeda domain bagaimana ya pak? dulu sempet buat sso juga penerapannya sama kaya divideo harus ada trigger login dulu
Berarti, untuk validasi access token yang diterima oleh resource server dari client, si resource servernya punya akses ke athorization server ya pak eko ?
Pak di menit 24:45 itu kan harus ada trigger click button login ya, kalau casenya sudah login di toko online kemudian di travel online langsung terlogin tanpa trigger click button apakah memungkinkan?
@@fajaramaulana kalo sub domain bisa, karena bisa sharing cookie, kalo bener2 beda domain, gak bisa, aturan cookie emang gak boleh sharing cookie beda domain
bjiirr, bener bener lagi kepikiran mau buat SSO, malah muncul. MENYALA ABANGKUH 🔥🔥🔥🔥🔥
😁
Huaa tq kaa. Plis soalnya belum ada yang bahas ini di yt
Thank you mas Eko untuk video nya, clear dan mudah dipahami, sehat selalu mas Eko
Mantap, pak. Yang ketinggalan paling penjelasan terkait penggunaan access_token tadi dari sisi backend/resource server ke auth servernya, dan soal refresh_token. Mungkin bisa dibahas di materi selanjutnya.
Ditunggu juga untuk best practice menggunakan Keycloak, terutama untuk bisa bikin custom field sendiri dari yang udah ada.
Sudah di bahas di vlog lanjutannya
Makasih Pak Eko. Pas lagi bikin ini eh muncul
mantap kang.. sangat bermanfaat.. semoga berkah ilmunya
Semoga menginspirasi
mantap pak eko, kebetulan lagi pusing baca dokumentasi spring authorization server
Sekalian minta dibahas cara revoke token utk smw user (force logout) di masing2 aplikasi ato smw aplikasi utk case oauth ini Pak Eko
bjir mau belajar malah muncul gasken langsung di terapkan
Lanjutkan
Bikin tentang implementasi authentication jwt juga mas, yang aman dengan menggunakan refresh token
baru banget kemaren integrasiin SSO, eh muncul vidio SSO.
lagi nyari, mantaop deh
From websockets and queues to OAuth, Laravel has it all 😂
lambo nya mana bos?
Mantab pak eko, tapi bagian Consent dan Scopes nya di bahas jg.
iya, durasinya kepanjangan kalo terlalu detail, mungkin nanti di video terpisah
Single Sing On dengan google. Mana yang lebih cocok? Apakah SAML atau Oauth? Apa kelebihan dan kekurangannya? Kapan cocok menggunakan SAML atau OAuth?
wah pas banget ni
mau ada versi ngodingnya ga pak, buat contoh sederhana
?
bikin course nya saya mau beli eheheh
ide ditampung
Buat versi Java Spring pak hehe@@ProgrammerZamanNow
@@ProgrammerZamanNow izin aja kang buat versi banyak Pemograman jangan satu aja kang.
Saya juga mau
Pak Eko, saya request video tentang oterisasi resource kayak gambar dan video. Sekarang kan kita kebanyakan pakai third party storage provider, nah kalau dari situ kan by default semuanya itu accesible. Bagaimana kita, mensinkronkan proses oterisasi server kita dengan server storage provider sehingga hanya orang yang berhak mendapatkan resorce itu yang mendapatkannya.
noted
keren kang, thanks
👍
Pak Eko, tolong bahas cara maintain data deletion di db. Concernnya, record nya mau dipake untuk audit. Bagaimana cara design best practice nya, pake trigger, mirror table, atau yg lain? Trims
noted
concern GDPR ya?
Kang Eko, tolong bahas KEYCLOAK dong kang. best pratice menggunakannya seperti apa?
noted
Nanya kang eko, bagaimana proses pengecekan di resource server kalo access token yang dikirimkan itu ada dua jalur pengiriman? Client aplikasi mobile mengirimkan access token lewat request header, Client aplikasi web mengirimkan access token lewat request cookie? apakah bakal dibahas di episode selanjutnya?
dibahas senin depan
Mantab
👍
Diam2 pak eko sedang menjelaskan kelebihan King Laravel.
wah, masak sih?
pak, kapan bikin course swift?
Kirain bakal langsung praktek
Dari minggu lalu udah mau nonton ini cm blm keburu, dan tadi interview ditanya ini, agak ngeblank :( menyesal ga nonton langsung wkwk
nyalakan notifikasi, biar gak ketinggalan nonton nya
@@ProgrammerZamanNow udah bang, efek dinanti2 nontonnya 😂
gas bang bikin pake laravel
🔥🔥
🚒
Mau tanya pak, untuk mekanisme verify access token pada resource server, apakah dilakukan verify ke auth server atau di resource server itu sendiri?
dijawab senin depan di video terpisah
@@ProgrammerZamanNow ditunggu pack :)
refresh_token bagusnya sekali pake atau bisa berulang pa?
pak eko bahas Access Token dan Refresh Token
noted
ketiga🔥
👍
Guys mau nanya, kalau seperti ni, bagaimana sub aplikasi (seperti toko online, dll) memverifikasi token dari authorization server ?
nanti dibahas di materi selanjutnya, minggu depan
Gmn caranya tau klo user udh login dari aplikasi lain? Apa di auth server juga nyimpan cookie atau data auth si user
pastinya, biar gak usah login lagi
Pertamax
pertalite
tokennya apakah perlu di verify ke authorization server setiap melakukan request di client ? atau ketika disimpan cookies / local storage bebas mlakukan request tnpa di verify ke authorization server ?
video pembahasannya tayang senin depan
bang itu aplikasi gambar pake apa? sepertinya bisa sangat membantu saya buat ngajar online nih..
Excalidraw
mau nanya pak, ini bagaimana si resource server (ex toko online resource server) memvalidasi data token yang dikirimkan client benar dari authorization server, terimakasih
tunggu senin depan, video pembahasannya bakal di rilis
Apakah resource server perlu melakukan validasi ke authorization server ketika ada request?
kalo engga, gimana cara resource server memastikan token itu valid / engga, kan bisa aja dimanipulasi di client
kalo iya, bagusnya komunikasi antara resource server dengan authorization server itu pake protocol apa ya?
validasi cuman dilakukan diawal, saat penukaran Auth Code -> Access Token. setelah itu resource server tidak perlu lagi memvalidasi tiap request.
cara ngevalidasi token valid dan ngga dimodifikasi ya pake JWT. bisa pake shared secret key. tinggal validasi aja signature JWT-nya (jadi validasi dilakukan di internal resource server). klo mau lebih aman bisa pake public-private key juga bisa, nanti authorization server generate access token pake private key, dan nanti resource server ngevalidasi pake public key.
berarti konsep ini tuh yang dipake sama oauth google sistem gitu kan yak pak? misal dari website itu redirect ke google oauth -> input data -> ngirim authorization code ke server (backend) -> lalu server nya ngubah authorization code ini jadi access token -> lalu access token dikirim ke web nya dan disimpan di web nya. bener gak pak?
mungkin, perlu konfirmasi ordal google nya
berarti TTL access tokennya berbeda2 ya?, sama auth code itu apakah random string?.
gimana yang buatnya, seberapa lama TTL nya
access token itu biasannya disimpen dimana y mas? cache kah? jadi nanti si resource sever perlu ngecek trus di cache apa pake jwt?
Disimpennya di storage client (web atau mobile)
Pak Eko, izin tanya, untuk pengaturan RBAC di oauth baiknya dimana ya pak?
authorization server
Authorization code di sso itu bentuknya apa ya pak? apakah redirect url yang kaya "?authCode=base64" gitu? pernah coba keycloak berarti sama dong kaya pakai keycloak?
bebas, gak ada aturan, random string bisa, uuid bisa, jwt bisa, apapun bisa
Owalah berarti redirect url ya? Terimakasih pak Eko🙏
Untuk authorization code yang untuk nukar token ini bagusnya dikasih expires_at nya ga ya pak.
biasanya one time token, dan pasti ada expired nya
mau tanya pas req + token untuk setiap app cara cek valid tokennya gmana dan menentukan data yg mana yg di punya user bersangkutan di resource app ?
mungkin bisa di next materi dijawab 😁
sudah ada videonya, tayang minggu depan
Pak eko ijin bertanya, berarti yang disimpan di client itu cukup access token nya aja ya ? Dari dulu seringnya yang disimpan di client (cookies) itu satu object data user . Jadi kalo data user di cookies ada artinya udah login begitu 😅 Mohon nasihatnya pakk
kalo web, di cookies, kalo mobile biasanya di local storage nya
menyala pak eko, mau nanya pak, misal tadi kan kita sudah login di SSO Oauth, terus di halaman website lain mau login dan diredirect ke SSO lagi, itu bagaimana SSO tau usernya sudah login pak sedangkan user ngak input username password lagi ?
dari user apa ngirim token atau authorization code yang sudah ada sebelumnya atau bagaimana Pak ?
dari web auth server nya kan ada session nya juga
@@ProgrammerZamanNow owh, berarti ketika user sukses login pertama kali dia ngak cuma nyimpan authorization code tapi session SSO nya juga ya pak ?
Terus kalo misalnya web login dan web lainnya nerapin sistem JWT token apa owner nyimpan jwt token web login dan juga token setiap website lainnya pak ?
Punten, mau nanya kang eko maap agak panjang tulisannya😅, di penjelasan ini ketika user ingin login, maka user akan di redirect ke page login milik authorization server kemudian isikan uname dan passwd, jika berhasil akan diberikan auth code untuk selanjutnya ditukar menjadi access token. misal casenya authorization server dan client web app ini 1 domain, apakah memungkinkan jika proses login sdh berhasil authorization server akan sekaligus juga nge set cookiesnya untuk domain tersebut, agar client web app ini enggak perlu nukar auth code lagi, cukup cek jika tokennya exist maka sdh login dan bisa digunakan untuk melakukan akses ke resources server. itu aja kang, semoga bisa dijawab, nuhun kang
kalo satu domain, bisa sharing cookie
@@ProgrammerZamanNow kalau misal berbeda domain bagaimana ya pak? dulu sempet buat sso juga penerapannya sama kaya divideo harus ada trigger login dulu
Berarti, untuk validasi access token yang diterima oleh resource server dari client, si resource servernya punya akses ke athorization server ya pak eko ?
sudah dibahas di materi selanjutnya ya
lg bikin sso pake keycloak, pen pecah pala
Sabar bang, ini ujian
Pak di menit 24:45 itu kan harus ada trigger click button login ya, kalau casenya sudah login di toko online kemudian di travel online langsung terlogin tanpa trigger click button apakah memungkinkan?
bisa, kalo domain nya sama
@@ProgrammerZamanNow kalau beda domain ada saran selain trigger click login pak? dulu saya pernah bikin berbeda domain, sama caranya spt di video
@@fajaramaulana kalo sub domain bisa, karena bisa sharing cookie, kalo bener2 beda domain, gak bisa, aturan cookie emang gak boleh sharing cookie beda domain
@@ProgrammerZamanNow di case ini apakah user perlu memasukan username password lagi saat login kalau case nya beda domain pak?
Boleh tau pak, itu flowchart nya pakai aplikasi apa?
excalidraw
Hellnawh
Ada yg pake Duende Identity Server di sini?
baru denger malah
😁