Oauthlib: Membres de la communauté - activité

Je serais en fait favorable au déplacement de point vers oauthlib org. C'est actuellement dans le jazzband qui est plus ou une org de contribution FFA. J'ai suggéré de le déplacer là-bas initialement car il n'était essentiellement pas maintenu dans son organisation d'origine.

Cela ne me dérange pas d'avoir un accès en écriture, mais je ne pense pas en avoir besoin. Bien que je connaisse bien Flask et que je me sente à l'aise de contribuer directement à Flask-Dance en gérant les problèmes, en fusionnant les relations publiques, etc., je ne peux pas revendiquer la même familiarité avec OAuth et la spécification OAuth. Bien que je puisse participer à des problèmes et à des révisions de code, je ne pense pas que je serais à l'aise d'appuyer sur le bouton de fusion d'un PR sur oauthlib, à part des changements très insignifiants.

@jleclanche , malgré le travail de maintenance (docs, outils, liens,...) autour du déplacement d'un projet dans oauthlib org, je pense que c'est une bonne idée et que cela peut en valoir la peine à long terme. Je pense que nous pourrions également déplacer bottle-oauthlib dans l'organisation.

@daenney , c'est parfaitement bien ! Je ne m'attends pas à ce que les développeurs en aval sachent tout sur OAuth, mais nous avons l'API python entre les bibliothèques et oauthlib. Vous avez certainement un mot à dire à ce sujet, et revoir cette partie -l'API- peut être très bénéfique pour Flask-Dance et d'autres.

Cela me semble raisonnable ! Je ne passe pas beaucoup de temps à travailler sur Flask-Dance ces jours-ci, car je ne l'utilise pour rien pour le moment, personnellement ou professionnellement. Néanmoins, je le soutiens toujours activement, et @daenney a été d'une grande aide. (Merci encore!)

Je ne suis pas sûr de faire grand-chose avec requests-oauthlib , mais c'est vraiment bien d'avoir les permissions pour le faire. Une dernière question : j'ai récemment entendu parler de Tidelift et je me suis inscrit sur leur plateforme en tant que responsable de Flask-Dance. Je suppose que je devrais faire la même chose pour requests-oauthlib ? Est-ce que quelqu'un a un problème avec ça?

Pour être honnête, si j'ai le temps et la motivation, j'aimerais réécrire la base de code et la documentation requests-oauthlib -- ce n'est pas très agréable de travailler avec. Mais en ce qui concerne mon point précédent, je ne sais pas quand ni si j'arriverai un jour à le faire.

@singingwolfboy , pas de soucis pour Tidelift.

Si personne n'a d'objection, je donnerai quelques accès en écriture à ce projet dans une semaine. Poke @thedrow , @skion , @duaneking , @wiliamsouza.

Je suis en faveur de cela car je pourrai passer moins de temps à l'avenir.

Je souhaite afficher le bouton GitHub Sponsor sur le référentiel requests-oauthlib , mais je n'ai pas l'autorisation d'accéder à la page des paramètres de ce référentiel sur GitHub. Quelqu'un peut-il l'allumer ou me donner la permission de l'allumer moi-même ?

J'ai invité quelques contributeurs en aval dans oauthlib org. Si quelqu'un me manque, OU si quelqu'un qui lit cette discussion est intéressé à participer à oauthlib, soit au nom d'une autre bibliothèque en aval, soit de son propre chef, veuillez commenter ici ou envoyez-moi un message !

Merci

@singingwolfboy Veuillez modifier le fichier FUNDING.yml en conséquence.

@thedrow Pourriez-vous clarifier votre commentaire ?

• _À quel_ fichier FUNDING.yml faites-vous référence ?
• Comment voulez-vous que je l'édite ?
• Êtes-vous en mesure de faire une demande d'extraction, afin de pouvoir démontrer les modifications qui, selon vous, devraient être apportées ?
• Enfin, cette discussion appartient-elle même à ce problème particulier de GitHub ?

• https://github.com/oauthlib/oauthlib/blob/master/.github/FUNDING.yml
• Un PR serait bien. Nous aurons besoin d'ouvrir un compte opencollective.
• Nan. Nous devrions en ouvrir un nouveau.

poke @singingwolfboy , j'ai vu que vous avez accès en écriture à requests-oauthlib, savez-vous qui peut accorder à certains d'entre nous des autorisations similaires ?

Je pense que si je trouve du temps libre pour nettoyer les problèmes/RP, je le ferai.

CC'ing @jezdez ici; contacté sur IRC pour déplacer DOT de jazzband à ici.

@jleclanche , @jezdez , des progrès jusqu'à présent ?
@singingwolfboy , des mises à jour sur les demandes-oauthlib propriété/accès en écriture ?

Merci

@JonathanHuot : Je crois que @sigmavirus24 m'a donné accès au référentiel requests-oauthlib, mais il semble qu'il soit en pause du développement open source, pour une durée indéterminée . Il semble que la meilleure option ici consiste à utiliser les canaux d'assistance documentés sur le site Web des demandes . D'après mon expérience, IRC fonctionne mieux si vous pouvez trouver un moment où un responsable est en ligne : #python-requests

Dans les nouvelles connexes, @jtroussard m'a indiqué qu'il était également intéressé à devenir mainteneur, bien qu'il n'ait pas beaucoup d'expérience avec l'open source. Lui et moi allons trouver un moment pour discuter en vidéo, afin que je puisse répondre à ses questions et l'aider à démarrer autant que possible.

Je n'ai pas reçu de réponse de @jezdez concernant le déplacement de DOT hors de jazzband. Est-ce que quelqu'un qui ferait le suivi peut déposer un problème ici ?

Salut les amis, désolé de vous avoir tous fait attendre, je tiens à clarifier certaines choses car django-oauth-toolkit n'est pas dans Jazzband depuis très longtemps . Dans l'intérêt des politiques de "porte ouverte" de Jazzband (en gros, tout le monde peut rejoindre l'organisation Jazzband GitHub et contribuer directement), obtenir l'approbation pour déplacer django-oauth-toolkot vers l'organisation oauthlib de la part de tous ceux qui ont contribué depuis le passage à Jazzband semble être une solution sensée chèque à faire.

Je recommanderais également d'obtenir la confirmation du déménagement de @synasius (qui a déplacé le repo vers Jazzband depuis son emplacement précédent) et le chef de projet actuel @MattBlack85 qui a gracieusement pris le relais il y a quelque temps pour diriger le projet.

Voici une liste des changements qui se sont produits depuis le jour du passage à Jazzband, y compris les contributeurs qui ont fait les changements : https://github.com/jazzband/django-oauth-toolkit/compare/master@%7B04-18-18 %7D... maître

@jleclanche Étant donné que vous étiez l'un des contributeurs et que vous avez posé des questions sur IRC et ici sur le passage à l'organisation oauthlib, cela vous dérangerait-il de faire un peu de travail pour contacter ces personnes ici dans le ticket pour obtenir une confirmation ?

Je suis actuellement absent jusqu'au 5 décembre. Je suis heureux de faire quelques démarches après cette date pour aider !

Je viens de parler à @denizdogan , et il est également intéressé à aider avec requests-oauthlib. Lui et moi pensons tous les deux que le code existant est dans un mauvais état et qu'une réécriture complète pourrait être une bonne idée, ce qui nous permet également de créer une API de développement plus agréable. Il va créer un nouveau référentiel et commencer à travailler sur un nouveau projet qui _pourrait_ finir par remplacer requests-oauthlib à un moment donné dans le futur.

Peut-être que le projet peut également prendre en charge httpx pour les connexions asynchrones ?

@thedrow C'est en fait ce sur quoi je travaille pendant mon temps libre, essentiellement une réécriture de requests-oauthlib mais en utilisant httpx et éventuellement en implémentant d'autres améliorations au fur et à mesure que je les trouve. Le nom de travail est sans intérêt httpx-oauthlib (pas encore de code en ligne).

Pour être ouvert et honnête à ce sujet, je fais cela principalement pour comprendre pourquoi requests-oauthlib a été conçu comme il l'a été et pour voir si je pouvais faire mieux avec un recul de 20/20 et sans exigences de rétrocompatibilité . Ne laissez pas mon travail sur ce sujet empêcher quelqu'un d'autre de faire la même chose, car vous êtes probablement mieux adapté à la tâche que moi de toute façon. :)

Si je me retrouve avec un package approprié sur PyPI, les utilisateurs httpx seraient le principal public cible et les demandes seraient peut- être utilisées comme solution de secours, en fonction de la quantité de travail que cela impliquerait.

C'est peut-être une question idiote, mais je dois demander:

Manque-t-il quelque chose à Authlib maintenant ? Je pensais que c'était uniquement pour écrire des serveurs OAuth, car il pousse vraiment cette partie dans son slogan, mais il semble que de nos jours il a non seulement un support client, mais aussi des intégrations Flask et Django, un support HTTPX asynchrone, un support PKCE, OpenID Connect, etc. Il est actuellement activement développé par @lepture depuis qu'il a créé un fork il y a plus de deux ans .

Je m'en veux un peu de ne pas avoir regardé de plus près avant, car j'ai passé pas mal d'heures de mon temps libre à faire httpx-oauthlib, mais cela semble superflu maintenant. La façon dont ils ont conçu Authlib est tout à fait conforme à ce que j'essayais d'accomplir, et parfois même meilleure que ce que j'avais en tête.

Oserais-je dire qu'il est peut-être temps de penser à déprécier oauthlib et requests-oauthlib et de se concentrer sur Authlib ?

Non.

Auth Zero est une entreprise privée à laquelle on ne peut pas faire confiance ; Ils financent cet effort et je le considère personnellement comme une attaque contre la communauté parce qu'ils sont impliqués.

J'ai rejoint ce projet à l'origine parce qu'Auth0, en tant qu'entreprise, essayait abusivement d'acheter et de tirer parti de la propriété ou du contrôle de toutes les bibliothèques de connexion possibles, car pour eux, il était préférable d'avoir moins de concurrence ; Ils ont simplement continué à le faire dans le but d'augmenter les prix des startups et d'essayer de contrôler la connexion en tant que service et de forcer les entreprises à les utiliser, donc je ne leur fais pas du tout confiance.

En conséquence, nous avons BESOIN que ce projet existe comme un moyen simple de s'assurer qu'ils ne contrôlent pas tout ; Leurs affaires ont tendance à se casser si vous ne les utilisez pas officiellement, donc je les vois comme le BORG.

@duaneking Je comprends - je n'étais pas au courant des pratiques commerciales d'Auth0 ni même qu'elles étaient associées à Authlib. J'apprécie votre réponse et reconsidérerai l'idée d'utiliser Authlib. Cela étant dit, d'après ce que j'ai pu trouver, Auth0 n'est qu'un "sponsor" du projet et Hsiaoming gère sa propre entreprise qui n'est par ailleurs pas liée à Auth0. Est-ce que j'ai bien compris ou est-ce que le terrier du lapin va plus loin ?

Non.

Auth0 fait ce "parrainage" de plusieurs manières, ce que vous voyez est la partie frontale. Vous devriez considérer tout développeur qui leur prend activement de l'argent, directement ou indirectement par le biais d'un projet, pour être contaminé/contrôlé/influencé par eux sur le backend comme ainsi qu'il n'est pas rare que les entreprises forcent les développeurs à signer des accords dont ils ne peuvent pas parler en public afin de diriger l'image de marque et d'atténuer les risques pour l'entreprise, etc.

Quand ils ont essayé de me contacter, c'était exactement ce qui m'était proposé, et par conséquent, je n'ai aucune confiance pour tout projet qu'ils "sponsorisent" ou "soutiennent" et les développeurs eux-mêmes qui ont accepté cela sont également suspects comme ils ont effectivement vendu leur crédibilité à mon avis.

@denizdogan @duaneking Auth0 n'est qu'un sponsor d'Authlib, cela n'a rien à voir avec "contrôler" "gérer" "licence" ou toute autre chose d'Authlib. Vous pouvez le considérer comme une publicité.

Auth0 a essayé de me contacter pour créer une intégration pour eux spécifiquement, mais j'ai refusé. Vous ne verrez aucun code lié à auth0 dans Authlib. Je ne comprends pas pourquoi c'est un problème, les informations sont publiques, vous pouvez obtenir des informations sur l'argent via https://www.patreon.com/lepture. Tout le monde peut me soutenir via patreon ou GitHub.

En plus de cela, vous pouvez également voir qu'il y a un autre sponsor Authing sur readme.

Et OAuthlib lui-même utilise également une bibliothèque sponsorisée par Auth0 : https://pyjwt.readthedocs.io/en/latest/

Je ne fais pas confiance à Auth0. Leurs tactiques sont dans mon esprit, contraires à l'éthique. Le fait qu'ils veuillent jeter de l'argent est bien, mais cela ne devrait JAMAIS leur donner AUCUN contrôle ou même une influence.

Leur objectif de récolter des bénéfices par utilisateur sur les startups et les organisations caritatives (ou sur n'importe qui) est contraire à la communauté, aux objectifs de toute entreprise, etc., et ils devraient être considérés comme hostiles à la communauté de par leur nature même en tant qu'entreprise qui veut un prix par utilisateur être aussi élevé que possible afin d'assurer leur résultat net. Leur modèle commercial même est une attaque contre l'open source, les startups, toute entreprise, etc.

Oserais-je dire qu'il est peut-être temps de penser à déprécier oauthlib et requests-oauthlib et de se concentrer sur Authlib ?

Pour ce que ça vaut, la principale caractéristique d'OAuthlib par rapport à Authlib est une approche agnostique.

J'ai également une petite inquiétude, mais non nulle, concernant la politique d'attribution des droits d'auteur de @lepture . C'est 100% compréhensible en tant que consommateur de bibliothèque, mais en tant que contributeur, je préférerais simplement publier sous CC0. Cependant, je n'en ai pas discuté en détail avec eux.

Je ne suis pas fan d'une seule personne possédant un travail de communautés entières, moi-même.

Je suis intéressé à devenir mainteneur.

Salut @auvipy , vous êtes plus que bienvenu dans le projet, j'ai envoyé une invitation !

Salut @auvipy , vous êtes plus que bienvenu dans le projet, j'ai envoyé une invitation !

j'ai compris. mais pas de fusion ou d'approbation pour le moment.

Pouvez-vous vérifier à nouveau ? Je pense que j'étais confus au sujet de l'organisation, de l'équipe et du projet. Maintenant, vous et tous les membres de l'organisation oauthlib devriez avoir plus d'autorisations.