IK
бэк ставит токен и бэк проверяет это токен, фронт ниче про токен не должен знать вообще
Бэкэнд особо не нужен
Это стейт для хранения на фронте
Отвечая на вопрос, то те же самые программисты
Есть много статей на эту тему
Size: a a a
2019 November 04
AW
То есть хранить в куке а отправлять токеном в заголовке, так что ли?
В любом случае плохо. Если эту куку записывает JS, и отправляет в заголовке, то это априори не HttpOnly
В любом случае плохо. Если эту куку записывает JS, и отправляет в заголовке, то это априори не HttpOnly
AW
бэк ставит токен и бэк проверяет это токен, фронт ниче про токен не должен знать вообще
лол, это на чем основывается? Фронт это такое же приложение, как и бэк
AW
там это самое, нужно запретить жэс доступ к токену авторизации, типа иначе дыра, вот тут немного есть https://habr.com/ru/post/143259/
это все касается кук.
RK
То есть хранить в куке а отправлять токеном в заголовке, так что ли?
В любом случае плохо. Если эту куку записывает JS, и отправляет в заголовке, то это априори не HttpOnly
В любом случае плохо. Если эту куку записывает JS, и отправляет в заголовке, то это априори не HttpOnly
разница в том, где ты хранишь токен для подписи запросов
AW
Бэкэнд особо не нужен
Это стейт для хранения на фронте
Отвечая на вопрос, то те же самые программисты
Есть много статей на эту тему
Это стейт для хранения на фронте
Отвечая на вопрос, то те же самые программисты
Есть много статей на эту тему
скиньте статьи, почитаю.
RK
в localStorage не рекомендуют
IK
в куках есть срок жизни
IK
из коробки
AW
разница в том, где ты хранишь токен для подписи запросов
и если хранить их в куках, то это не HttpOnly и все пойдет по пизде с первым же xss'ом
AW
в куках есть срок жизни
и что? На бэкэнде в любом случае реализовывается срок жизни
IK
на бэке все норм
AW
он из коробки есть во всех библиотеках для работы с oauth/jwt
IK
главное чтобы фронт не мог просто добратся до токена авторизации
IK
если ломанный браузер будет то моджно вскрыть, ну мы должны хотябы немного усложнить задачу
AW
главное чтобы фронт не мог просто добратся до токена авторизации
почему это? localStorage доступен ТОЛЬКО с ТОГО ЖЕ домена, откуда был записан. Сам записал - сам и вытаскивает
IK
как разрабы
IK
почему это? localStorage доступен ТОЛЬКО с ТОГО ЖЕ домена, откуда был записан. Сам записал - сам и вытаскивает
жэс может взять данные
RK
и если хранить их в куках, то это не HttpOnly и все пойдет по пизде с первым же xss'ом
HttpOnly можно настроить
RK
почему это? localStorage доступен ТОЛЬКО с ТОГО ЖЕ домена, откуда был записан. Сам записал - сам и вытаскивает
через расширение я тебе спокойно могу токен получить