169 похожих чатов

И так, мужики и котята. вопрос будет сейчас про фронтэнду,

но не для них, т.к. эти котятки вряд ли знают, что такое информационная безопасность. мне нужно на сайте создать какой-нибудь guard для проверки ролей после авторизации. на бэке всё проще в плане безопасности, так шо пох.

но лучше я с вами обсужу, т.к. эта точка соприкосновения должна быть известна многим.

так вот, я вижу это так:
допустим у нас есть печенька, которую мы постоянно отсылаем при запросах. Может тогда в эту печеньку заныкать роль пользователя, например как в JWT, шоб в стейте топорно не хранить такие данные? не звучит надежно чот...

или может лучше сразу использовать хранилища приватные в стейте? ну и что нам это даст?

может тогда сделать какую-нибудь штучку , которая будет постоянно роль респонсом с сервера отправлять и на фронте редирект сделать, если роль не совпадает?
а будет ли тут подмена?

9 ответов

20 просмотров

В чём проблема хранить данные о юзере в стейте?

Spyro
Вроде очевидно, не?

Да вроде нет. В чём она?

для SPA на реакт идеально когда access и refresh токены в HTTP_ONLY куке лежат все остальное на клиенте можно будет подменить, кроме того что в этих куках поэтому с фронтом всегда работаем КАК С УЖЕ СКОМПРОМЕНТИРОВАННЫМ

Spyro- Автор вопроса
Rain
для SPA на реакт идеально когда access и refresh т...

Ну это мне все известно. Там ещё и сейм ориджин, но это другая история

тебе в основном хватит хранить у юзера jwt с надежным ключом и всё. Если других ошибок не будет, то jwt хватит для защиты

Spyro- Автор вопроса
Edward
тебе в основном хватит хранить у юзера jwt с надеж...

А может тогда сделать так, чтобы он респонс разворачивал каждый раз, а не просто там где-то в стейте это хранил?

Spyro
А может тогда сделать так, чтобы он респонс развор...

Тебе ничего такого не надо. Просто хранишь у юзера зашифрованный токен и работаешь только на беке

Похожие вопросы

Обсуждают сегодня

Господа, а что сейчас вообще с рынком труда на делфи происходит? Какова ситуация?
Rꙮman Yankꙮvsky
29
А вообще, что может смущать в самой Julia - бы сказал, что нет единого стандартного подхода по многим моментам, поэтому многое выглядит как "хаки" и произвол. Короче говоря, с...
Viktor G.
2
30500 за редактор? )
Владимир
47
а через ESC-код ?
Alexey Kulakov
29
Чёт не понял, я ж правильной функцией воспользовался чтобы вывести отладочную информацию? но что-то она не ловится
notme
18
У меня есть функция где происходит это: write_bit(buffer, 1); write_bit(buffer, 0); write_bit(buffer, 1); write_bit(buffer, 1); write_bit(buffer, 1); w...
~
14
Добрый день! Скажите пожалуйста, а какие программы вы бы рекомендовали написать для того, чтобы научиться управлять памятью? Можно написать динамический массив, можно связный ...
Филипп
7
Недавно Google Project Zero нашёл багу в SQLite с помощью LLM, о чём достаточно было шумно в определённых интернетах, которые сопровождались рассказами, что скоро всех "ибешни...
Alex Sherbakov
5
Ребят в СИ можно реализовать ООП?
Николай
33
https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_h_common.erl#L174 https://github.com/erlang/otp/blob/OTP-27.1/lib/kernel/src/logger_olp.erl#L76 15 лет назад...
Maksim Lapshin
20
Карта сайта