Oauthlib: Члены сообщества - активность

На самом деле я бы поддержал перенос точки на oauthlib org. В настоящее время он входит в состав джаз-бэнда, который больше или больше является организацией, вносящей вклад в FFA. Я предложил сначала переместить его туда, так как он практически не обслуживался в исходной организации.

Я не против иметь доступ для записи, но я не ожидаю, что он мне понадобится. Хотя я довольно хорошо знаком с Flask и чувствую себя комфортно, внося свой вклад в Flask-Dance напрямую, решая проблемы, объединяя PR и т. Д. Я не могу утверждать, что так же хорошо знаком с OAuth и спецификацией OAuth. Хотя я могу участвовать в проблемах и проверках кода, я не чувствую себя комфортно, нажимая кнопку слияния в PR на oauthlib, за исключением очень тривиальных изменений.

@jleclanche , несмотря на работу по техническому обслуживанию (документы, инструменты, ссылки и т. д.) по переносу проекта в oauthlib org, я думаю, что это хорошая идея, и она может окупиться в долгосрочной перспективе. Я думаю, что мы могли бы перенести и бутылку-oauthlib в org.

@daenney , это прекрасно! Я не ожидаю, что какие-либо последующие разработчики будут знать все об OAuth, но у нас есть API Python между библиотеками и oauthlib. У вас наверняка есть слово по этому поводу, и обзор этой части — API — может быть очень полезен для Flask-Dance и других.

Мне это кажется разумным! В настоящее время я не трачу много времени на работу над Flask-Dance, так как в данный момент я не использую его ни для чего ни лично, ни профессионально. Тем не менее, я по-прежнему активно его поддерживаю, и @daenney мне очень помог. (Спасибо еще раз!)

Я не уверен, что на самом деле буду много делать с requests-oauthlib , но определенно хорошо иметь на это права. Еще один вопрос: недавно я узнал о Tidelift и подписался на их платформу в качестве сопровождающего для Flask-Dance. Я полагаю, я должен сделать то же самое для requests-oauthlib ? У кого-нибудь есть проблемы с этим?

Честно говоря, если у меня будет время и мотивация, я бы хотел переписать кодовую базу и документацию на requests-oauthlib — с ней не очень приятно работать. Но в связи с моим более ранним замечанием я не уверен, когда и смогу ли я когда-нибудь это сделать.

@singingwolfboy , не беспокойтесь о Tidelift.

Если ни у кого нет возражений, через неделю я дам паре прав на запись в этот проект. Ткните @thedrow , @skion , @duaneking , @wiliamsouza.

Я за это, так как я смогу тратить меньше времени на продвижение вперед.

Я хотел бы отобразить кнопку GitHub Sponsor в репозитории запросов-oauthlib , но у меня нет разрешения на доступ к странице настроек этого репозитория на GitHub. Может кто-нибудь включить его или дать мне разрешение включить его самостоятельно?

Я пригласил пару нижестоящих участников в oauthlib org. Если я кого-то упущу, ИЛИ если кто-то, читающий это обсуждение, заинтересован в участии в oauthlib от имени другой нижестоящей библиотеки или от своего имени, пожалуйста, прокомментируйте здесь или отправьте мне сообщение!

Спасибо

@singingwolfboy Пожалуйста, отредактируйте файл FUNDING.yml соответствующим образом.

@thedrow Не могли бы вы пояснить свой комментарий?

• _Какой_ файл FUNDING.yml вы имеете в виду?
• Как бы вы хотели, чтобы я его отредактировал?
• Можете ли вы сделать запрос на вытягивание, чтобы продемонстрировать изменения, которые, по вашему мнению, следует внести?
• Наконец, относится ли это обсуждение к этой конкретной проблеме GitHub?

• https://github.com/oauthlib/oauthlib/blob/master/.github/FUNDING.yml
• Пиар бы не помешал. Нам нужно будет открыть открытый коллективный счет.
• Неа. Мы должны открыть новый.

poke @singingwolfboy , я видел, что у вас есть доступ на запись к request-oauthlib, вы знаете, кто может предоставить некоторым из нас подобные разрешения?

Я думаю, что если я найду немного свободного времени, чтобы почистить проблемы/пиар, я это сделаю.

Копирую @jezdez здесь; обратился в IRC по поводу переноса DOT из джаз-бэнда сюда.

@jleclanche , @jezdez , есть прогресс?
@singingwolfboy , есть какие-нибудь обновления по вопросам владения/доступа на запись request-oauthlib?

Спасибо

@JonathanHuot : я полагаю, что @sigmavirus24 предоставил мне доступ к репозиторию Requests-oauthlib, но , похоже, он взял перерыв в разработке с открытым исходным кодом на неопределенный период времени . Кажется, что лучший вариант здесь — использовать каналы поддержки, задокументированные на веб-сайте Requests . По моему опыту, IRC работает лучше всего, если вы можете найти время, когда сопровождающий находится в сети: #python-requests

В соответствующих новостях @jtroussard указал мне, что он также заинтересован в том, чтобы стать сопровождающим, хотя у него нет большого опыта работы с открытым исходным кодом. Мы с ним собираемся найти время для видеочата, чтобы я мог ответить на его вопросы и помочь ему начать работу, насколько это возможно.

Я не получил ответа от @jezdez о выводе DOT из джаз-бэнда. Может ли кто-нибудь, кто будет следить за этим, сообщить о проблеме здесь ?

Привет, друзья, извините, что заставил вас всех ждать, я хочу прояснить несколько вещей, так как django-oauth-toolkit не был в Jazzband в течение очень долгого времени . В интересах политики «открытых дверей» Jazzband (по сути, каждый может присоединиться к организации Jazzband GitHub и напрямую внести свой вклад), получение одобрения на перенос django-oauth-toolkot в организацию oauthlib от всех, кто внес свой вклад с момента перехода в Jazzband, кажется разумным. проверить сделать.

Я бы также порекомендовал получить подтверждение переезда от @synasius (который переместил репозиторий в Jazzband из прежнего места) и текущего руководителя проекта @MattBlack85 , который некоторое время назад любезно возглавил проект.

Вот список изменений, произошедших со дня перехода на Jazzband, включая участников, внесших изменения: https://github.com/jazzband/django-oauth-toolkit/compare/master@%7B04-18-18 .

@jleclanche Поскольку вы были одним из участников и спрашивали в IRC и здесь о переходе в организацию oauthlib, не могли бы вы выполнить некоторую работу, связавшись с этими людьми здесь в билете, чтобы получить подтверждение?

Сейчас я в отъезде до 5 декабря. Я счастлив сделать некоторую работу беготни после той даты, чтобы помочь!

Я только что разговаривал с @denizdogan , и он тоже хочет помочь с request-oauthlib. Он и я оба считаем, что существующий код находится в плохом состоянии, и переписать его с нуля может быть хорошей идеей, что также позволит нам создать более удобный API для разработчиков. Он собирается создать новый репозиторий и начать работу над новым проектом, который _может_ закончить тем, что в какой-то момент в будущем заменит request-oauthlib.

Может быть, проект также может поддерживать httpx для асинхронных соединений?

@thedrow На самом деле это то, над чем я работаю в свободное время, в основном просто переписывая запросы-oauthlib, но используя httpx и, возможно, внедряя другие улучшения по мере того, как я их нахожу. Рабочее имя неинтересно httpx-oauthlib (кода в сети пока нет).

Чтобы быть открытым и честным об этом, я делаю это в основном для того, чтобы выяснить, почему request-oauthlib был разработан таким образом, и посмотреть, смогу ли я сделать что-то лучше, оглядываясь назад и не требуя обратной совместимости. . Не позволяйте моей работе над этим помешать кому-либо еще сделать то же самое, потому что вы, вероятно, лучше подходите для этой задачи, чем я. :)

Если я закончу с правильным пакетом на PyPI, пользователи httpx будут основной целевой аудиторией, а запросы, возможно , будут использоваться в качестве запасного варианта, в зависимости от того, сколько работы это повлечет за собой.

Это может быть глупый вопрос, но я должен спросить:

Чего сейчас не хватает в Authlib ? Я думал, что он предназначен только для написания серверов OAuth, потому что он действительно продвигает эту часть в своем слогане, но похоже, что в настоящее время он имеет не только поддержку клиента, но также интеграцию с Flask и Django, поддержку асинхронного HTTPX, поддержку PKCE, OpenID Connect и т. д. В настоящее время он активно разрабатывается @lepture , так как он создал форк более двух лет назад .

Я немного корю себя за то, что не присмотрелся раньше, потому что я потратил довольно много часов своего свободного времени на создание httpx-oauthlib, но сейчас это кажется излишним. То, как они разработали Authlib, во многом соответствует тому, чего я пытался достичь, а иногда даже лучше, чем то, что я имел в виду.

Осмелюсь ли я сказать, что, возможно, пришло время подумать об отказе от oauthlib и request-oauthlib и сосредоточиться на Authlib?

Нет.

Auth Zero — частная компания, которой нельзя доверять; Они финансируют эти усилия, и лично я рассматриваю это как нападение на сообщество, потому что они в этом участвуют.

Я присоединился к этому проекту изначально, потому что Auth0 как компания оскорбительно пыталась купить и использовать свой путь во владение или контроль над каждой возможной библиотекой входа в систему, потому что для них лучше иметь меньше конкуренции; Они просто продолжали это делать, чтобы поднять цены на стартапы и попытаться контролировать вход в систему как услугу и заставить компании использовать их, поэтому я им совсем не доверяю.

В результате нам НУЖНО, чтобы этот проект существовал как простой способ гарантировать, что они не контролируют все; Их вещи имеют тенденцию ломаться, если вы не используете их официально, поэтому я считаю их BORG.

@duaneking Я понимаю - я не знал о деловой практике Auth0 или даже о том, что они были связаны с Authlib. Я ценю ваш ответ и пересмотрю идею использования Authlib. При этом, из того, что я смог найти, Auth0 является просто «спонсором» проекта, а Сяомин ведет свой собственный бизнес, который в остальном не связан с Auth0. Я правильно понимаю или кроличья нора глубже?

Нет.

Auth0 делает это «спонсорство» несколькими способами, то, что вы видите, является частью внешнего интерфейса. Вы должны рассматривать любого разработчика, активно берущего у них деньги, прямо или косвенно через проект, чтобы быть испорченным/контролируемым/находящимся под их влиянием на бэкэнде как а также компании нередко заставляют разработчиков подписывать соглашения, о которых они не могут говорить публично, чтобы направить брендинг и снизить риски для компании и т. д.

Когда они попытались связаться со мной, это было именно то, что было предложено, и в результате у меня нет доверия к любому проекту, который они «спонсируют» или «поддерживают», и сами разработчики, которые согласились на это, также вызывают подозрения. на мой взгляд, они эффективно продали свой авторитет.

@denizdogan @duaneking Auth0 — всего лишь один из спонсоров Authlib, он не имеет ничего общего с «контролем», «управлением», «лицензией» или какими-либо другими вещами Authlib. Можете считать это рекламой.

Auth0 пытался связаться со мной, чтобы создать интеграцию специально для них, но я отказался. Вы не увидите никакого кода, связанного с auth0, в Authlib. Я не понимаю, почему это проблема, информация общедоступна, вы можете получить информацию о деньгах через https://www.patreon.com/lepture. Любой может поддержать меня через patreon или GitHub.

Кроме того, вы также можете увидеть, что в файле readme есть еще один спонсор Authing .

И сама OAuthlib также использует библиотеку, спонсируемую Auth0: https://pyjwt.readthedocs.io/en/latest/

Я не доверяю Auth0. Их тактика, на мой взгляд, неэтична. Тот факт, что они хотят разбрасываться деньгами, это нормально, но это НИКОГДА не должно давать им НИКАКОГО контроля или даже влияния.

Их цель получения прибыли на пользователя от стартапов и благотворительных организаций (или от кого бы то ни было) противоречит сообществу, целям любых компаний и т. д., и их следует рассматривать как враждебные сообществу по самой своей природе как компании, которая хочет цену за пользователя. быть как можно выше, чтобы обеспечить их практический результат. Сама их бизнес-модель — это атака на открытый исходный код, стартапы, любую компанию и т. д., имхо.

Осмелюсь ли я сказать, что, возможно, пришло время подумать об отказе от oauthlib и request-oauthlib и сосредоточиться на Authlib?

Что бы это ни стоило, основная особенность OAuthlib по сравнению с Authlib — это независимый подход.

У меня также есть небольшое, но ненулевое беспокойство по поводу политики передачи авторских прав @lepture . Это на 100% понятно как потребитель библиотеки, но я, как участник, предпочел бы выпуск под CC0. Я не обсуждал это с ними подробно, хотя.

Я не сторонник того, чтобы один человек владел целым сообществом.

Я заинтересован в том, чтобы стать сопровождающим.

Привет @auvipy , добро пожаловать в проект, я отправил приглашение!

Привет @auvipy , добро пожаловать в проект, я отправил приглашение!

понятно. но сейчас нет слияния или утверждения.

Можешь еще раз проверить? Я думаю, что запутался в организации, команде и проекте. Теперь вы и все в организации oauthlib должны иметь больше разрешений.