169 похожих чатов

Всем привет! Мне нужно сделать так, чтобы юзеры могли авторизоваться при

помощи отправки мне через АПИ мыла и пароля.

Почитав доки я понял, что мне нужно в таком случае использовать подход "Password Grant Tokens", что позволит юзеру спокойно авторизоваться через фронт.
Так же это даст возможность обновлять токены через "refresh_token"

Теперь собственно вопрос: безопасен ли такой подход? Использует ли кто-то его на своих проектах?

4 ответов

4 просмотра

Какой из? Password Grand Tokens это подход доступа по токенам, его весь SPA использует. refresh_token это похоже на спецификацию oAuth 2, которая рекомендует выдавать токен доступа access и refresh токен для обновления токена доступа, тоже используют почти все, особенно у тех у кого laravel passport. Так и вопрос? юзеры через апи? или фронт для юзеров через апи? или это публичный апи с доступом любого ?

Vlad-Horpynych Автор вопроса

Ну да, по факту через фронт Юзер вписывает свои данные, от фронта уходит запрос с этими данными, на основе него я генерирую и отдаю токен доступа, который фронт будет для текущего юзера при следующих запросах. Если токен истёк - уходит запрос с рефреш токеном для получения новой пары "access-refresh" токенов.

Тогда вопрос безопасности не совсем верно стоит, на мой взгляд)) обычная аутенфикация по паре email+пароль используется везде, безопасность уже обеспечивает SSL при обмене между клиентом-сервером. Однако есть вопрос по безопасности хранения самих токенов на SPA. У OWASP есть требование/рекомендация не хранить важные данные в localStorage, sessionStorage и не httpOnly куках. Однако других «простых» мест для хранения этих данных на клиенте нет

Vlad-Horpynych Автор вопроса

Понял) Я вроде как всё это понимаю, но всё же на всякий решил уточнить) Чтобы потом не оказалось, что моё "понимание" оказалось ложным Насчет хранения на фронте - тоже об этом читал Но пока что хочу сделать более простую версию, а уже увеличение безопасности выписать на будущее Я думал, как вариант, шифровать в токен какую-то дополнительную информацию, которую можно будет проверить при получении запроса Например, тот же ip или что-то подобное, как вариант

Похожие вопросы

Обсуждают сегодня

@Aiwan что такое база образца?
Alexey
27
Не многие знают, а кто знает, тот уже успел забыть, что в далёком 2004 году эта игра произвела настоящий фурор, настолько революционной была технология, применяемая для её соз...
ICCID
4
Хотя у меня сейчас есть более сложная задача, вот её думаю: как объяснить челу переходного возраста противоположного полу, обучающегося в польском колледже (а-ля наш техникум)...
Вячеслав Кузьменко
15
коллеги, добрый вечер! А никто не знает как модальная форма может себя закрыть? Ну допустим модальная форма определила, что смысла ей работать нет и хочет вернуть modalResult...
Михаил
83
Добрый день Хочу начать обучение языку, не являюсь представителем it, буду благодарна за помощь, совсем пока не понимаю ничего) Подскажите, пожалуйста, где можно начать первы...
Sara Lala
30
верно что я могу удалить эти addq и subq т.к. со стеком никакого взаимодействия нет (исключая call)?
Michael
16
Hi Everyone! To all Are you Looking for Interview Support at the Lowest Price? Look no further! Then contact us We offer Interview Support for a low cost variety of technol...
Rambabu Nallamilli
3
средствами IBX как-то можно выполнить запрос insert ... returning?
Igor
31
Hi there everyone Is there anyone who have not started hamster bot yet? I need only one, I'll be glad if you do this for me DM if you haven't yet
Mehrshad
53
А если изначально бот работал так : есть сайт онлайн школы. У каждого ученика свой кабинет. Где он авторизуется по своим данным. И уже в кабинете, на самом сайте делает оплату...
Денис 💡 Фрилансер
13
Карта сайта