W
Ладно, покумекаю ещё над этой темой, видимо не хватает информации, нужно погуглить тщательней
Вы делаете интерфейс для апи других разработчиков, или используете лару как собственный бэк-сервер и все?
Size: a a a
2019 November 13
S
WhatchThis
Вы делаете интерфейс для апи других разработчиков, или используете лару как собственный бэк-сервер и все?
Пока для себя, но в перспективе потом выдавать доступы к апи другим сайтам и приложениям
i
Согласно модели Oauth2 когда на сервере api регестируется какое-то приложение или сайт ему выдаётся ID и client_secret, и эти данные используются в некоторых способах авторизации, вот и думаю раз они передаются от приложений и сайтов на сервер апи, то где же их тогда хранят, в моём случае моё SPA посылает запросы в которых должен быть указан этот client_secret, но своего бека же нет, вопрос где же его тогда хранить? Захардкодить прямо в приложение?
Всё верно, секрет хранится на фронте
W
Ну дак для себя тот вариант, ссылку на который я скинул - лучший
W
потому что там в принципе не надо мудрить никакое приложение, там из коробки за нас все замудрили уже
W
и с вараинтом "на перспективу" он никак не конфликтует
N
Привет! Кто-то в курсе, как в PhpStorm вставить полный путь к классу вместо импорта класса?
S
WhatchThis
Ну дак для себя тот вариант, ссылку на который я скинул - лучший
Я именно так всё и реализовал и всё работает, меня мучает только вопрос секьюрности этого решения
i
Nur
Привет! Кто-то в курсе, как в PhpStorm вставить полный путь к классу вместо импорта класса?
шта?
i
Я именно так всё и реализовал и всё работает, меня мучает только вопрос секьюрности этого решения
Где ты видишь нарушение секьюрности?
N
шта?
S
Где ты видишь нарушение секьюрности?
В том, что я передаю в запросах client_secret
N
шта?
Что не пользуешься штормом?
i
В том, что я передаю в запросах client_secret
Ты его передаешь один раз при авторизации
i
далее ты используешь токен
N
Мне нужно вставить полный путь к классу вместо того, чтобы шторм его автоматом прописал в use блоке. Кто-то если в курсе, подскажите пожалуйста. Спасибо :)
i
это обычное симметричное шифрование
i
и оно достаточно секьюрно
W
в любом случае, если сольют инфу с браузера - ни одна секьюрность не спасет. Фишка токенов в том, что оно протухнет достаточно быстро
S
Ты его передаешь один раз при авторизации
Всё верно, но вопрос был, где его хранить в SPA у которого нет своего бэкенда, тут подсказали, что можно прямо в коде SPA