207 похожих чатов

Всем привет. Какие рекомендации касательно проверки авторизации? Имею ввиду, есть условно

страница:
/admin

Можно сделать клиентскую проверку и серверную.

В первой (клиент только):
if (!store.token) return redirect(loginPage)

А можно на стороне сервера:

if (! await store.httpAuth) return redirect...

Во втором случае мы шлем запрос на сервер если у юзера есть токен. Если его нет, ясное дело он не авторизован.

Но вот в чем суть вопроса.
В случае клиент проверки, мы можем быстро и без нагрузки на сервер сказать юзеру, что он лох и должен зайти в акк.
Но лох он только на бумаге. По факту. Никто не мешает клиенту добавить токен туда где он хранится (условно куки) и зайти на страницу.

В 90% случаев это ему ничего не даст. Но зачем ему знать какие страницы есть на сайте и получать к ним доступ в том числе хттп энтри

В случае сервера, мы его не пустим если он лох. При чем соврать он не сможет ибо api уже скажет лох он или нет.

Но тут, по сути, лишние запросы каждое посещение страницы или страниц где есть мидлварь на проверку.

Что генерит нагрузку. Особенно если клиентов много.

Вопросы.
Что по best practices?
Что есть из других вариантов, если они есть?
Как делали лично вы?

#Nuxt3

4 ответов

35 просмотров

Токен может иметь подпись как симметричным шифрованием так и ассиметричным. Для ассиметричного варианта клиент получает открытый ключ для проверки валидности содержимого токена. После этого использует инфу из токена - роль например

Мне кажется вы преувеличиваете с «генерит нагрузку если много клиентов». Если там какая-нибудь сессия из редиса, то не будет там особо никакой нагрузки. Бест практис это не пытаться сразу написать гугл или амазон Хотя кто знает, может у вас уже миллионы

Black_Yuzia-Yuzia Автор вопроса
Gennady Kh
Токен может иметь подпись как симметричным шифрова...

О, а где почитать за это? Ибо звучит как лучше и быстрее чем слать запрос на бэк

Похожие вопросы

Обсуждают сегодня

Добрый вечер. Есть вопрос, а может и предложение. Был у меня диалог в другой группе о делфи и я задался вопросом: "А нельзя ли в делфи цвет //коментария и {комментария} сде...
Kraszx
24
Всем привет! Подскажи, пожалуйста, как передать в TComboBox сразу значение и id записи. На Delphi я делал так: ComboBox1.Items.AddObject('Какое-то значение', Pointer(id запис...
Евгений
13
Мдя, прикол, боевая сборка запускается (именно под отладчиком) после F9 примерно полторы минуты (97 секунд если быть точным). Начал копать - проблема детектится сразу - зависа...
Александр (Rouse_) Багель
38
Здравствуйте, вопрос по структурам данных. Были у вас случаи, когда пришлось писать деревья или двунаправленные списки?
/ /
50
Товарищи, кто работа с iphelper? Или может я в самой логике ошибки фигачу, не пойму.... var ifTable : PMIB_IFTABLE; size, corSize: DWORD; Buffer ...
Warfarellen
4
я так понимаю, я так подозреваю, что создание такого плагина для человека, кто умеет писать плагины для делфи потребует минут 5-10 времени. но это мое подозрение. хотелось бы ...
Kraszx
7
Коллеги, добрый вечер. Создаю коллекцию от TFPGMap, ключ - перечисление, значение - целое. Нужно отсортировать коллекцию по значению. Как это можно сделать?
Kirill Filippenok
11
Скажи а ты когда этот канал создавал ты уже дельфи не любил, или это со временем пришло?
Роман Лях (rgreat)
18
Ребята, всем привет. Подскажите, пожалуйста, можно ли как-то через бота понять, что этого бота добавили в группу\канал и выдали ему права администратора?
Artem Stormageddon
9
Привет, такой вопросик появился кажется ли вам что Rust слишком сложный/строгий для высокоуровневого программирования и слишком "безопасный"/строгий для низкоуровневого?
Крокант
10
Карта сайта