Skip to content

Smidig, Wordle, autentisering, dartÅrets siste fagkveld 2022

Profilbilde av Oscar Thån Conrad

Forfatter

Oscar Thån Conrad
5 minutter lesetid

Årets siste høstdag, 30. november, var store deler av ITverket igjen samlet for fagkveld på Oslos gamle telegrafbygning. Stedet som tidligere huset Televerket, var en viktig kommunikasjonskilde da Norge ble invadert under krigen.

På agendaen denne kvelden var det oppført tre talks fra tre smarte herrer. Etterfulgt av noen runder med dart og tilhørende øl på Oche. Agendaen så slik ut:

  • Karl Ivar Helsvig -> Team Agile Coach: Key take aways fra en utviklers perspektiv
  • Morten Larsen -> Improve your Wordle score with SQL Server
  • Eivind Jahr Kirkeby -> OAuth2 og OpenID Connect: Hvordan funker det egentlig?

I starten av november var Karl Ivar på Agile Team Coach kurs sammen med en håndfull andre ITverkere. Det var fra dette kurset, med søkelys på agile team, Karl Ivar ønsket å dele sine erfaringer. Etter en kort gjennomgang av det smidige tankesettet, loset han oss gjennom flere nyttige øvelser, konsepter og modeller som man kan bruke for å lage effektive og smidige team.

Videre snakket han om hvilke typer problemstillinger det er hensiktsmessig å bruke smidig som utviklingsmetodikk. Disse problemstillingene kjennetegnes ved at de er komplekse og at løsningen ofte ikke er gitt på forhånd. Løsningene kommer ved at teamet i fellesskap jobber sammen mot et felles mål. Og at de jevnlig evaluerer arbeidet sitt og juster kurs basert nye erfaringer og innsikt.

Det største poenget Karl Ivar hadde i løpet av kvelden, var viktigheten av psykologisk trygghet innad i team. Psykologisk trygghet er den tryggheten man kjenner på når man er del av et team der det mellom medlemmene er aksept for å ytre seg, stille spørsmål og gjøre feil. Mangel på dette vil føre til redusert trivsel og redusert kvalitet på teamets leveranser.

Karl Ivar forteller om lagene i "The Agile Onion"

Etter en kort middagspause var det Morten Larsen som entret scenen. Morten omtaler seg selv som en «backend dude» og sverger derfor til gode gamle Notepad som presentasjonsverktøy. Det var heldigvis ikke det grafiske som stod i sentrum under Morten sin talk, men hvordan man kunne bruke SQL-server til å forbedre sin Wordle poengsum.

For de som ikke kjenner til spillet Wordle, så kan man lese mer om det her.

Morten oppdaget at inntil helt nylig, så lå Wordle sitt løsningsord for dagen og alle tidligere løsningsord lagret i en ordliste client side. På samme sted lå også en ordliste over alle gyldige ord som kan brukes for å gjette dagens ord. Med det hadde Morten nok han trengte av informasjon til å analysere seg frem til løsningsordet med et minimalt antall forsøk.

Ved å putte dataen han fant i tabeller og kjøre spørringer mot dem, kunne Morten enkelt finne ut hvilke bokstaver som var mest brukt i tidligere løsningsord og analysere seg frem til et veldig godt startord. Basert på informasjon Morten fikk ved å spille startordet, repeterte han prosessen, men luket ut ord som nå manglet bokstaver han visste måtte være med og ord han visste at hadde bokstaver på feil sted. På tredje iterasjon hadde Morten på imponerende vis funnet fram til dagens løsningsord.

Morten med sin notepad-presentasjon

Kveldens siste taler var Eivind. Han oppdaterte oss på dagens bransjestandard innenfor autentisering og autorisering, to ting det er viktig å kunne forskjellen på.

Autentisering: Hvem er du
Autorisering: Hva har du tilgang til

Når det kommer til implementering av disse to, går protokollene OAuth2 og OpenID Connect (OIDC) hånd i hånd. Eivind snakket om hvordan dette brukes i dag og hva da vanligste fallgruvene utviklerne går i er, når de skal ta dette i bruk i sine systemer.

Deretter fokuserte han på hvorfor dette faktisk er sikkert og hva man kan gjøre for å holde applikasjonene sine sikre i tiden fremover.

Eivind sine viktigste budskap denne kvelden var:

  1. Ikke håndter tokens eller andre hemmelighet i client side, typisk i nettleseren. Ingen hemmeligheter er trygge i der. Det vil alltid finnes muligheter for å finne hva enn en måtte prøve å gjemme bort der.
  2. Ikke bruk implicit flow. Implicit flow er en utdatert påloggingsflyt som lenge var anbefalt i OIDC og OAuth2 sammenheng. I dag er implicit flow frarådet på det sterkeste på grunn av manglende mulighet til å bekrefte identiteten til mottaker av et access token.

Et annet godt tips er å holde et øye med utviklingen av dagens autentisering- og autoriseringsløsninger. Her skjer utviklingen fort og snart er dagens standarder utdatert, så sørg for å holde påloggingsløsningene oppdatert etter dagens best practice.


Eivind forteller om sine erfaring med OAuth2 og OIDC

Fagkvelden denne onsdagen var en stor suksess, med over 40 ITverkere som deltok. Mellom foredragene fikk vi servert en deilig middagsbuffet sammen med god drikke, som bidro til å heve stemningen.

Arrangementskomiteen takker Karl Ivar, Morten og Eivind for flotte bidrag. Vi gleder oss til neste fagkveld.