fix(auth): зачистить остатки auth.nstart.space → altum.nstart.cloud
This commit is contained in:
@@ -25,7 +25,7 @@ instrument / processing_level / data_format пока отсутствуют в
|
||||
**Авторизация:**
|
||||
|
||||
- На staging пока выключена (`ORDINIS_AUTH_REQUIRED=false`), на prod включится.
|
||||
- Header `Authorization: Bearer <jwt>` от Keycloak (`auth.nstart.space/realms/nstart`).
|
||||
- Header `Authorization: Bearer <jwt>` от Keycloak (`altum.nstart.cloud/auth/realms/altum`).
|
||||
- Альтум использует **service account (m2m client)** в реалме `nstart`, роль
|
||||
`ordinis-public`. JWT issued через `client_credentials` flow, рефрешится в
|
||||
altum-backend перед TTL.
|
||||
@@ -222,7 +222,7 @@ allowlist:
|
||||
- [ ] Сидинг 4 справочников (`mission`, `instrument`, `processing_level`,
|
||||
`data_format`) согласно §3 в bundle `cuod`. Отдельный changelog для
|
||||
добавления схем + начальные записи.
|
||||
- [ ] Service account `altum-backend` в Keycloak realm `nstart` с ролью
|
||||
- [ ] Service account `altum-backend` в Keycloak realm `altum` с ролью
|
||||
`ordinis-public`. Передать `ORDINIS_CLIENT_ID` / `ORDINIS_CLIENT_SECRET`
|
||||
команде Альтума.
|
||||
- [ ] CORS allowlist для отладочных доменов Альтума на ingress.
|
||||
|
||||
@@ -10,7 +10,7 @@
|
||||
|
||||
```bash
|
||||
# client_credentials (для service-to-service интеграторов)
|
||||
TOKEN=$(curl -s -X POST https://auth.nstart.space/realms/nstart/protocol/openid-connect/token \
|
||||
TOKEN=$(curl -s -X POST https://altum.nstart.cloud/auth/realms/altum/protocol/openid-connect/token \
|
||||
-d grant_type=client_credentials \
|
||||
-d client_id=$KC_CLIENT_ID -d client_secret=$KC_CLIENT_SECRET | jq -r .access_token)
|
||||
|
||||
|
||||
@@ -53,7 +53,7 @@ Mutations, INTERNAL/RESTRICTED data, workflow и `/me/*` требуют JWT.
|
||||
|
||||
```bash
|
||||
TOKEN=$(curl -s -X POST \
|
||||
"https://auth.nstart.space/realms/nstart/protocol/openid-connect/token" \
|
||||
"https://altum.nstart.cloud/auth/realms/altum/protocol/openid-connect/token" \
|
||||
-d "client_id=ordinis" \
|
||||
-d "grant_type=password" \
|
||||
-d "username=user@example.com" \
|
||||
@@ -604,7 +604,7 @@ DictionaryDetail detail = mapper.readValue(resp.body(), DictionaryDetail.class);
|
||||
|
||||
```bash
|
||||
# client_credentials (для service-to-service интеграторов)
|
||||
TOKEN=$(curl -s -X POST https://auth.nstart.space/realms/nstart/protocol/openid-connect/token \
|
||||
TOKEN=$(curl -s -X POST https://altum.nstart.cloud/auth/realms/altum/protocol/openid-connect/token \
|
||||
-d grant_type=client_credentials \
|
||||
-d client_id=$KC_CLIENT_ID -d client_secret=$KC_CLIENT_SECRET | jq -r .access_token)
|
||||
|
||||
|
||||
@@ -1,8 +1,8 @@
|
||||
# Авторизация
|
||||
|
||||
Ordinis принимает JWT от Keycloak realm `nstart`:
|
||||
Ordinis принимает JWT от Keycloak realm `altum`:
|
||||
|
||||
- **Issuer:** `https://auth.nstart.space/realms/nstart`
|
||||
- **Issuer:** `https://altum.nstart.cloud/auth/realms/altum`
|
||||
- **Алгоритм:** RS256
|
||||
- **JWK Set discoverится** через `/.well-known/openid-configuration`
|
||||
|
||||
@@ -10,7 +10,7 @@ Ordinis принимает JWT от Keycloak realm `nstart`:
|
||||
|
||||
Для backend-to-backend интеграции (типичный сценарий):
|
||||
|
||||
1. Запросить у Ordinis team создание клиента в realm `nstart`.
|
||||
1. Запросить у Ordinis team создание клиента в realm `altum`.
|
||||
2. Назначить role: `ordinis-public` / `ordinis-internal` / `ordinis-restricted`
|
||||
(по нужному scope, см. ниже).
|
||||
3. Получить `client_id` + `client_secret`. Хранить в Vault либо secret manager,
|
||||
@@ -19,7 +19,7 @@ Ordinis принимает JWT от Keycloak realm `nstart`:
|
||||
## Получение access token
|
||||
|
||||
```bash
|
||||
curl -X POST https://auth.nstart.space/realms/nstart/protocol/openid-connect/token \
|
||||
curl -X POST https://altum.nstart.cloud/auth/realms/altum/protocol/openid-connect/token \
|
||||
-H "Content-Type: application/x-www-form-urlencoded" \
|
||||
-d "grant_type=client_credentials" \
|
||||
-d "client_id=altum-backend" \
|
||||
@@ -91,7 +91,7 @@ m2m flow без user session. Получай новый access token при ис
|
||||
|
||||
| Среда | Issuer | Realm |
|
||||
|---|---|---|
|
||||
| prod | `https://auth.nstart.space/realms/nstart` | `nstart` |
|
||||
| prod | `https://altum.nstart.cloud/auth/realms/altum` | `nstart` |
|
||||
| staging | same | same |
|
||||
| local | same либо local Keycloak (опц) | same |
|
||||
|
||||
@@ -105,7 +105,7 @@ m2m flow без user session. Получай новый access token при ис
|
||||
| 401 на каждый запрос | Token expired | Refresh с TTL buffer |
|
||||
| 401 на новый token | Invalid client_secret | Re-fetch у Ordinis team |
|
||||
| 403 на конкретные dictionaries | Scope mismatch | Запросить upgrade role у Ordinis team |
|
||||
| 500 от Ordinis | Issuer unreachable / JWK fetch fail | Check `auth.nstart.space` health |
|
||||
| 500 от Ordinis | Issuer unreachable / JWK fetch fail | Check `altum.nstart.cloud/auth` health |
|
||||
|
||||
## Дальше
|
||||
|
||||
|
||||
Reference in New Issue
Block a user