с public клиентом (фронт) сами кредлы юзера передаются?
Я знаю подход, при котором креденшелы не передаются с фронта на бэк, а передается хэш этих данных, который потом сравнивается с хешом, хранящимся в базе. В базе не должно храниться пароля, а должен храниться хэш, чтобы администратор базы не мог украсть эти данные. Поправьте, пожалуйста, если не прав
Это ничем не отличается от передачи их в открытую.
передаются креды с фронта постом, на бэке уже хешируется и дальше уже там же и сравнение идет
Так себе вариант. Еще и пароли не соленые при нем и при утечке базы доступ ко всем аккаунтам открывается. Не надо так.
Обсуждают сегодня