сервера Laravel отправляет токен, на стороне клиента где более безопасно ее хранить ? Что лучше использовать для хранения LocalStorage или Pinia ?
Если подразумевается что будет только один запрос для получения токена и его хранении, а не каждый раз при перезагрузке, то в cookies, хранение важных данных такие как токены в local storage, это плохая практика
это откуда оно стало плохой практикой?
а какая разница что cookie и localstorage они же одинаково почти работают
cookie автоматически отправляются на сервак и с сервака устанавливаются в браузер, у них есть протоколы защиты, срок истечения и так далее
https://techrocks.ru/2020/09/29/storing-jwt-tokens-securely/#:~:text=%D0%A1%D1%83%D1%89%D0%B5%D1%81%D1%82%D0%B2%D1%83%D0%B5%D1%82%20%D0%B4%D0%B2%D0%B0%20%D1%80%D0%B0%D1%81%D0%BF%D1%80%D0%BE%D1%81%D1%82%D1%80%D0%B0%D0%BD%D0%B5%D0%BD%D0%BD%D1%8B%D1%85%20%D1%81%D0%BF%D0%BE%D1%81%D0%BE%D0%B1%D0%B0%20%D1%85%D1%80%D0%B0%D0%BD%D0%B5%D0%BD%D0%B8%D1%8F,cookie%20%D0%B8%D0%B7%2D%D0%B7%D0%B0%20%D0%B1%D0%BE%D0%BB%D1%8C%D1%88%D0%B5%D0%B9%20%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8.
не так написал, у них есть атрибуты domain, secure, httpOnly, path и тд, не помню уже что там еще
вообще-то атрибуты)
чушь рассмотрен вариант cookie с httpOnly: как получать доступ к токену?
Это становится проблемой бека
Это не проблема бэка, а один из вариантов обеспечения безопасности соединения бэк-фронт Совсем неплохой Но тут спрашивали про метод, когда токен доступен на фронте
он доступен на фронте если path соответствует текущему url либо path не указан, httpOnly не указан, domain = site domain, ну и expires еще актуальный
я же написал, что там рассмотрен случай с куками только httpOnly
тогда никак, из js невозможно полить куки с httoOnly
httpOnly ставят обычно для refresh-токена
это понятно Тут вопрос стал какой метод безопасен для хранения Аксес токена на фронте С условием, что его можно прочитать Утверждал кто-то что ЛС - плохо Я спросил почему Из этого весь спор пошел Что ЛС что куки обычные - безопасность одинаковая имхо Удобней в ЛС
потсоны рекомендуют в памяти приложения хранить. С помощью веб воркера или эмулировать приватный метод через замыкание. Но это вариант разве что для самых переживающих. Локал сторадж наше всё
Можно по-разному извращаться С точки зрения безопасности надо просто на бэке в токен записывать IP адрес клиента и сверять его каждый раз Несовпадение - инвалидация и логаут
И при динамическом айпи либо входе с соседского вайфая получим бесценную возможность залогиниться снова)
Часто на соседский вайфай переключаешься? Везде баланс между безопасностью и удобством
Часто в кафе с ноутбуком бываю и телефон бывает с собой беру на пьянку
Обсуждают сегодня