169 похожих чатов

Всем привет! Мне нужно сделать так, чтобы юзеры могли авторизоваться при

помощи отправки мне через АПИ мыла и пароля.

Почитав доки я понял, что мне нужно в таком случае использовать подход "Password Grant Tokens", что позволит юзеру спокойно авторизоваться через фронт.
Так же это даст возможность обновлять токены через "refresh_token"

Теперь собственно вопрос: безопасен ли такой подход? Использует ли кто-то его на своих проектах?

4 ответов

6 просмотров

Какой из? Password Grand Tokens это подход доступа по токенам, его весь SPA использует. refresh_token это похоже на спецификацию oAuth 2, которая рекомендует выдавать токен доступа access и refresh токен для обновления токена доступа, тоже используют почти все, особенно у тех у кого laravel passport. Так и вопрос? юзеры через апи? или фронт для юзеров через апи? или это публичный апи с доступом любого ?

Vlad-Horpynych Автор вопроса

Ну да, по факту через фронт Юзер вписывает свои данные, от фронта уходит запрос с этими данными, на основе него я генерирую и отдаю токен доступа, который фронт будет для текущего юзера при следующих запросах. Если токен истёк - уходит запрос с рефреш токеном для получения новой пары "access-refresh" токенов.

Тогда вопрос безопасности не совсем верно стоит, на мой взгляд)) обычная аутенфикация по паре email+пароль используется везде, безопасность уже обеспечивает SSL при обмене между клиентом-сервером. Однако есть вопрос по безопасности хранения самих токенов на SPA. У OWASP есть требование/рекомендация не хранить важные данные в localStorage, sessionStorage и не httpOnly куках. Однако других «простых» мест для хранения этих данных на клиенте нет

Vlad-Horpynych Автор вопроса

Понял) Я вроде как всё это понимаю, но всё же на всякий решил уточнить) Чтобы потом не оказалось, что моё "понимание" оказалось ложным Насчет хранения на фронте - тоже об этом читал Но пока что хочу сделать более простую версию, а уже увеличение безопасности выписать на будущее Я думал, как вариант, шифровать в токен какую-то дополнительную информацию, которую можно будет проверить при получении запроса Например, тот же ip или что-то подобное, как вариант

Похожие вопросы

Обсуждают сегодня

Всем привет, написал код ниже, но он выдает сегфолт, в чем причина? #include <stdio.h> #include <stdlib.h> #include <string.h> struct product { char *name; float price; };...
buzz базз
60
Хотел бы спросить у знающих, правильную ли я выбрал книгу для начала изучения ассемблера Юрова В.И ? Или есть более лучшие книги для начала обучения?
Botsman
25
Книга Юрова В.И пойдёт для обучения?
Botsman
24
$params = [ 'formid' => 'feedbackForm', 'formTpl' => '@CODE: <form class="form-validate" data-id="ajax_form"> <fieldset class="margin-bottom-md"> ...
Pathologic
1
> Примечательно, что новый владелец удаляет из GitHub любые жалобы, указывающие на подозрительную активность или смену владельца, и, видимо, рассчитывает на то, что пользовате...
Alex Sherbakov
1
Hey there Which is the best Linux destro for developers (coding)? To my research on reddit, they said Linux mint is good for mid level spec and Ubuntu for high Lev hardwar...
Wiz 🪄
11
И ещё вопрос: можно ли типа как на дос как-то запариться и с помощью прерываний выводить текст, вместо функции printf ?
НѣкъиⰘижєжєиꙁъвьсєсвѣтьноѣсѣтиѥсть•
34
а мы ещё не созрели до того, чтобы создать отдельный чатик про настройку редакторов?
Cheese Syrowiecki
16
Всем привет! У меня почему-то по-разному отображается TListView в Debug и Release режимах (FireMonkey)! При запуске под Win приложения TListView заливается программо. в Debug ...
Александр COM
8
Ладно, ещё тупого спрошу. Код должен банально вывести значение регистра на консоль, на деле же не выводя ничего, просто оставляя нерабочую консоль (открыта, ничего не написан...
НѣкъиⰘижєжєиꙁъвьсєсвѣтьноѣсѣтиѥсть•
25
Карта сайта