lapparrr / auth_sprint_2 Goto Github PK

В файле admin-service/app/users/auth.py в строке с response = requests.post... может быть выброшено исключение, его нужно перехватить и обработать. Можно даже использовать backoff.

В файле auth-service/app/src/services/auth.py у вас два раз встречается user_claims: Optional[dict] = {}.
Крайне рекомендую ознакомиться со статьей https://florimond.dev/en/posts/2018/08/python-mutable-defaults-are-the-source-of-all-evil/
Присваивать в качестве параметра по умолчанию изменяемый объект - это всегда опасно.

При создании интеграции не забудьте учесть изящную деградацию Auth-сервиса. Auth сервис — один из самых нагруженных, потому что в него ходят большинство сервисов сайта. И если он откажет, сайт отказать не должен. Обязательно учтите этот сценарий в интеграциях с Auth-сервисом.

У вас не предусмотрена регистрация через соцсети, только лишь поиск по email в базе пользователей.
Смотрите, OAuth2 - протокол авторизации, но не аутентификации, и про это написано в теории и рассказано почему. Т.е. он подтверждает, что у этого пользователя есть какие-то права в соцсети (нам достаточно того, что соцсеть подтвердит нам, что он там есть). Далее мы на основании этой информации создаем своего пользователя в своей базе (для аутентификации) и привязываем эту соцсеть к нему. При этом, если соцсеть выдает адрес электронной почты, то используем его, если нет, то создаем какой-то уникальный, так же генерим пароль. При этом фронтэнд будет пользователю постоянно напоминать, что укажите вашу актуальную почту и придумайте свой пароль.
Я все это к тому, что у вас нет модели связывающей пользователя и соцсеть, а еще вы расчитываете, что соцсеть выдаст email пользователя, но это бывает далеко не всегда. К тому же при вашем подходе, мы не можем добавить к существующему пользователю социальную сеть или несколько соцсетей, открепить от пользователя сеть.

Упростите регистрацию и аутентификацию пользователей в Auth-сервисе, добавив вход через социальные сервисы. Список сервисов выбирайте исходя из целевой аудитории онлайн-кинотеатра — подумайте, какими социальными сервисами они пользуются. Например, использовать OAuth от Github — не самая удачная идея. Ваши пользователи — не разработчики и вряд ли пользуются аккаунтом на Github. Лучше добавить Yandex, VK или Google.
Вам не нужно делать фронтенд в этой задаче и реализовывать собственный сервер OAuth. Нужно реализовать протокол со стороны потребителя.
Информация по OAuth у разных поставщиков данных:
Yandex,
VK,
Google.

Упростите регистрацию и аутентификацию пользователей в Auth-сервисе, добавив вход через социальные сервисы. Список сервисов выбирайте исходя из целевой аудитории онлайн-кинотеатра — подумайте, какими социальными сервисами они пользуются. Например, использовать OAuth от Github — не самая удачная идея. Ваши пользователи — не разработчики и вряд ли пользуются аккаунтом на Github. Лучше добавить Yandex, VK или Google.
Вам не нужно делать фронтенд в этой задаче и реализовывать собственный сервер OAuth. Нужно реализовать протокол со стороны потребителя.
Информация по OAuth у разных поставщиков данных:
Yandex,
VK,
Google.

Некоторые провайдеры авторизации не предоставляют адрес электронной почты. Необходимо это предусмотреть.

Создайте интеграцию Auth-сервиса с сервисом выдачи контента и административной панелью, используя контракт, который вы сделали в прошлом задании.

Имена провайдеров авторизации лучше принимать в эндпоинтах в качестве строкового параметра. А не как у вас явно указан /login/yandex/redirect. Провайдеров может быть множество, а ручек достаточно лишь двух.

Предположительно уже реализовано, надо проверить

Добавить ручку для синхронизации из админ сервиса
Проверять доступ к ручкам

Необходимо подготовить код к расширению списка провайдеров авторизации. Сейчас вы очень жестко привязались к yandex. Попробуйте еще какой-нибудь добавить и увидите, что там будет очень много общего. Можно будет создать базовый класс с общим функционалом и от него наследоваться.

Добавьте в Auth-сервис трассировку и подключите к Jaeger. Для этого вам нужно добавить работу с заголовком x-request-id и отправку трассировок в Jaeger.

Не смог проследить как трейсер подключен к приложению. Файл с инициализацией есть auth-service/app/src/tracer.py, но он, кажется, сам по себе.