На днях под видосом про библиотеку Grammy js получил вот такой вопрос. Он подкинул мне идею написать развернутый ответ и напомнить вам, в чем разница между авторизацией и аутентификацией.

Во-первых, давайте разберемся с терминами:
Аутентификация – это подтверждение личности пользователя, отвечаем на вопрос «кто ты?»
Авторизация – это проверка прав доступа пользователя к определенным ресурсам или функциям, «что тебе разрешено делать?»

Во-вторых, респект комментатору – в вопросе термин использован абсолютно верно: никакой аутентификации нам делать не надо, её за нас делает телеграм (человек вводит свой номер телефона, код из смс, и телеграм понимает, кто он). На сайтах это реализуется с помощью логина/пароля и дополнительных барьеров типа двухфакторной аутентификации (код в смс, на почту, Google Authenticator).
В результате аутентификации тг знает, кто использует приложение. Благодаря этому, наш бот вместе с сообщением от пользователя получает объект с информацией о юзере – его телеграм id, ник, имя.
Авторизация же в боте, действительно, лежит на нашей стороне. Она всегда происходит после аутентификации, так как чтобы выдать права доступа, нам нужно знать, кто перед нами. Обычно данные о пользователе мы храним в базе данных в виде объекта, и если у нас несколько уровней доступа, то мы добавляем в объект поле role и присваиваем ему значение в зависимости от условий. Если роли всего две (админ / юзер), то можно обойтись флагом isAdmin с булевым значением.
Например, мы делаем бота для оплаты подписки и отправки контента (аналог бусти). По команде /start сохраняем нового пользователя в БД, создавая ему поле subscriptionLevel: free. Как только он производит оплату и мы получаем по API ответ об успешной оплате, меняем free на paid, а если оплачена супер-подписка – на pro. Ну а когда пользователь отправляет команду /content, мы идем в БД, проверяем его уровень доступа и исходя из него отправляем контент.

Краткий итог: для авторизации в тг-боте нам надо где-то хранить информацию об уровнях доступа пользователей, а также предусмотреть условия изменения этих уровней.
Если задача у вас простая на уровне «дать себе доступ админа, а остальным базовый», то можно вообще обойтись без всяких БД: узнаёте свой тг id и в коде проверяете

if (userId === мой_тг_айди) {….}
else {  sendResponse("У Вас нет доступа к этим функциям") }

А ответ конкретно на вопрос такой: если мы заранее знаем круг пользователей и никаких критичных данных не отдаем (не паримся за безопасность, в общем), то можно на серваке в папке с ботом создать файлик с константой-массивом с айди всех пользователей, и в коде проверять, включен ли айди юзера в этот список. Если да – даём доступ. Если хочется более безопасно, или юзеров много, или логика получения/удаления прав доступа нужна, то см ответ выше 👆🏻

❗️ВАЖНО:
Оба процесса всегда происходят на бэкенде, это важно, так как происходит получение доступа к чувствительной информации (логин/пароль пользователя, его уровень доступа)

А вы когда-нибудь писали сами логику аутентификации или авторизации?

Тема блокировки/замедления ютуба уже где только не обсасывается, поэтому дам краткий апдейт о своих планах без мЕга аНаЛитиКи:

1️⃣ Я продолжу снимать и выкладывать контент на ютуб, как бы он ни работал. Кто-то продолжит смотреть из-за рубежа, кто-то с vpn, так что видео найдут своего зрителя
2️⃣ Возможно, в качестве плана Б выгружу ролики на локальные площадки рф. Подумываю о вк или дзене, к рутубу пока душа как-то не лежит (но кто знает, возможно, придется и переобуться в воздухе)). Честно сказать, я сам на них не сижу и специфики не знаю, поэтому и решения пока нет
3️⃣ Если звёзды сойдутся и я-таки проведу стрим, который сто лет назад еще анонсировал (🙏), то постараюсь стримить одновременно на твич и на ютуб, чтобы максимальное количество людей смогли прийти и пообщаться в лайве – всё-таки это главный кайф стримов

Всем быстрого ютуба и доступа к бесконечным знаниям!

Плохая документация – ад для разработчика
Хорошая документация
– чистейший кайф 💆‍♂️
А если я скажу вам, что бывает еще круче? У создателей
🖼️ Next.js получилось: на оф. сайте можно найти ссылку на их собственный курс по этому фреймворку
Курс 100% бесплатный, в текстовом формате, очень подробный, состоит из 16 глав и проходится легко. Особенно кайфанул от их подхода: это не “создаем приложение с нуля”, а “берем проект с 80% написанного кода и допиливаем”.
Я вообще не против первого типа курсов, на старте они просто необходимы, НО. Когда ты и так на работе уже не первый год пилишь реакт-компоненты разной сложности, верстать очередной дэшборд на курсе желания нет совсем)
И тут как раз тебе дают кучу понятного кода и показывают, как дописать оставшиеся 20%, относящиеся именно к нексту.
В самом курсе написано так:

"В отличие от туториалов, где вам нужно писать код с нуля, большая часть кода для этого курса уже написана за вас. Это лучше отражает реальную разработку, где вы, вероятно, будете работать с существующей кодовой базой."

Красавцы 🤝

Маленький нюанс: курс написан на английском языке, но
а) ребята, кому по скилу будет впору читать это, уже и так должны иметь англ на достаточном уровне (~B1)
б) никто не отменял функцию перевода на любой язык в современных браузерах))

Если уверенно пишете на реакте и немного знакомы с бэком, смело проходите

Это я и сценарии видосов на ютуб 😏

Как автоматизировать деплой тг-бота 🤖
aka "чтоб пушить код в ветку, а бот на сервере сам подтягивал обновления и перезапускался"

Короткий ответ: берешь бота + сервер + Github Actions – и готово!
Подробный ответ – смотри в новом видео:
😉: https://youtu.be/JkTUqom-KvU
😄: https://vk.com/video-227261333_456239026

Посмотрев ролик, вы вспомните, как деплоить бота на сервер, а также:
– Научитесь подключаться к удаленному серверу по SSH из локальной командной строки
– Узнаете, как создавать SSH-ключи
– Откроете для себя Github Actions (GA)
– Поймёте, из чего состоит Workflow в GA и как писать его самому.
Готового бота для тренировки предоставлю 🤝

Всего 30 минут, а столько пользы!

И ещё:
Текстовая версия ролика тут
А развернуть IT-инфраструктуру для веб-проектов любой сложности можно тут

Приятного просмотра!

Нужен ли Redux в Вашем React-приложении? 🖼️

Не помню, рассказывал ли вам, но у меня есть англоязычная статья на эту тему. Писал ещё в апреле 23 года, и родилась она из личной нужды: мне надо было решить, какой инструмент для стейт-менеджмента подходит в конкретном проекте. Ответ я для себя нашел, а в процессе получился логичный алгоритм, который захотелось описать подробнее и зафиксировать.

В статье рассматривается выбор стратегии управления стейтом исходя из
⋅ размера приложения
⋅ структуры данных
⋅ необходимости делиться данными между далекими друг от друга компонентами

Качайте английский и повторяйте Redux!
А если хочется по-русски, авто-перевод страницы вам в помощь (за качество такого перевода, правда, не ручаюсь)

Почитать тут: 🔗 Hashnode

P.S. Подписываться на Хэшноде не призываю, вряд ли в ближайшее время буду там что-то писать

В чем ключевое отличие Jr/Md от Senior и Team Lead позиции?

Попробовал необычный формат: в этом видео мы с приглашенным гостем обсудили:

что же отделяет просто крутого разработчика от крутого и нужного, которого все готовы нанимать и повышать?

Речь пойдет про Продуктовое Видение 🧿

А в гостях у меня Валентин – Lead System engineer в Sumsub с огромным опытом в продуктовой разработке в финтех секторе, взаимодействии между командами и проектировании высоконагруженных систем

Чуть не забыл, в конце видео есть бонус – ищите его в следующем посте :)

Ссылки:
😉: https://youtu.be/gj32JEnOo78
💰: смотреть бесплатно на Бусти
😄: 🔤

😎 Пссс, бета-тест бота интересует?
Написать черновую версию приложения за 2 часа, а потом допиливать 2 месяца — haha, classic 😬

ChatGPT прямо у тебя в тг 😌
Может отвечать на текстовые запросы через GPT4o-mini и GPT4o + генерировать картинки
🔗: бот тут

Вы знаете моё отношение к ИИ. Ещё его знает моё окружение, кому я промываю мозги по поводу необходимости его внедрения в свою жизнь

Так появился этот бот: сначала сугубо для родных и друзей, кому лень / сложно / дорого юзать впн и официальный сервис, но постепенно он разросся из пэт-проекта до продакшн-версии. Более того, я сам стал замечать, что пользуюсь GPT с телефона именно через бота, хотя у меня есть купленная подписка оф сервиса – мне тупо лень, в тг проще))

Почему нет, решил я, допилил его до бета-версии* и рассказываю вам. Позже в планах купить где-нибудь рекламу и запустить в народ, если получится

🎁 Предлагаю и вам его потестить бесплатно, а чтобы было интереснее, даю 30 промокодов: TGBETA
(используйте команду /promocode в боте)

*см комменты