Ребят, а как с точки зрения безопасности правильно сделать авторизацию

через Login Widget?
- пользователь авторизуется
- я на фронте получаю данные пользователя
- кидаю их на бек
- там проверяю их и возвращаю, что все ок
- фронт видит, что с бека пришло ок и внутренние страницы?
Что-то как-то небезопасно кажется

а что смущает?

1. кажется «ок» от сервера можно легко подменить, 2. где-то нужно хранить что пользоватеть авторизован и там тоже можно легко подменить «ок»

ну подделает пользователь этот ОК, и у него будет на фронтенде писаться что он залогинен, но когда он пойдёт на сервер за каким-то данными, сервер же его пошлёт лесом, ведь его сессия не ОК

вот. значит надо проверять пользователя каждый раз на право чтения информации

ааа, ты не проверяешь, ну смотри, в первый раз когда приходит проверка на пользователя, создавай сессию, в неё помещай инфу про этого пользователя, а дальше используй только ключ сессии

Жвт! 1!1!

точно, всё время забываю про него, живу в двухтысячном

Все

Хотя в чате по ноде говном закидабт

тогда в баню лучше не ходить

Я за него кину с бэка на фронт

С фронта на бэк *

Делай через редирект, генерь на стороне бэка jwt и будет тебе счастье

только с колбеком разобрался )))

но в любом случае надо через oauth, если только это не SPA сама в себе - serverless

это спа серверлесс

- кидаю их на бек

а ты об этом, я думал без ssr