Wpis z mikrobloga

Skopiuj link

26.09.2016, 21:21:36

#programowanie #nodejs #javascript #angularjs #kiciochpyta

Taka sytuacja: aplikacja składająca się z rest api i frontu w angularze, który woła sobie jakieś get'y. Chciałbym zabezpieczyć takie połączenie, żeby z api mógł połączyć się tylko front. Podobno nie ma głupich pytań, więc: czy zabezpieczenie (np. tokenami) musi opierać się na podaniu loginu i hasła, żeby ten token otrzymać? Czy możliwe jest automatyczne przekazywanie tokenu do angulara?

larvaexotech

26.09.2016, 23:57:09

@TrebuniTutek: możesz oprzeć to na sesjach.

Afrael

27.09.2016, 05:24:40

@TrebuniTutek: i w jaki sposób wtedy będzie Ci to zabezpieczać aplikację, skoro każdy kto wejdzie na stronę otrzyma token? :-)

TrebuniTutek

27.09.2016, 05:48:20

@Afrael: Chodzi o to, że api wystawia pliki i żeby nie można było ich pobrać jak się wywoła jakiegoś geta. Tylko front może to robić. To nie ma w ogóle sensy? :)

Afrael

27.09.2016, 06:12:26

@TrebuniTutek: a jak będziesz sprawdzał, czy to front pyta o token (serwer musi go wygenerować i wysłać przy pierwszym zapytaniu, bądź przy zapytaniu o token)?

incognito_man

27.09.2016, 07:39:11 via Android

@TrebuniTutek jwt

o.....l

konto usunięte 27.09.2016, 07:58:12

Poczytaj sobie o JWToken. Auth0 itp.

TrebuniTutek

27.09.2016, 19:29:50

@Afrael: A jeśli np. w angularze byłby zahardkodowany token, który będzie stały?

Afrael

28.09.2016, 06:20:26

@TrebuniTutek: to teraz pomyśl, że osoba, która korzysta z frontu, patrzy sobie do zakładki Network w Developer Toolsach i widzi, że przy każdym requeście leci też token, który się nie zmienia. Wystarczy, że sobie skopiuje ten token i nie musi wcale z frontu korzystać. Oczywiście wytnie to osoby, które na webie się nie znają, i pewnie tych, którzy nie chcą kombinować, tylko zrobić to, co im front oferuje, ale przed