- Сообщения
- 1 409
- Решения
- 48
Я пару дней проверял плагин, в общем лично по-моему опыту, могу сказать, что страдает безопасность. Я читал документацию, увидел что ты написал о том, что безопасность серверов авторизации/лимбо накладываешь на пользователей. Это не совсем правильный подход при аутентификации по своей концепции, все текущие современные плагины во время аутентификации блокируют команды и взаимодействие со всем, кроме нужных команд. Это спасает от уязвимостей.
Из этого выходит, что чисто из-за человеческого фактора, сервера будут допускать ошибки по типу "забыл настроить LuckPerms, забыл настроить ядро и включить там пару функций, не учёл это...". А в случае если на серверах стоит LuckPerms на прокси, игрок может зайти в auth из-под админ аккаунта и выполнять команды админки БЕЗ авторизации. Это исправляется если добавлять контекст в LuckPerms и правильно настроить false права когда игрок находится на auth. В других плагинах столько костылей не нужно делать.
Репликация/мульти-прокси не работает. Если включить репликацию с Redis, я не могу зайти на сервер и зарегистрироваться по какой-то причине. Ошибок и логов нет. Просто не работают команды. Выключил = все гуд.
Возможно могут быть несовместимы со системой uuid в плагине, например с velocity bungee/velocity и другими десятками плагинами которые очень тесно с ними работают. Воспроизвести не смог, но у меня один раз случился дубликат uuid в базе данных luckperms из-за identica. То есть мой uuid на Нике поменялся через identica, а старый остался валятся в базе данных LuckPerms с админ правами.