Wpis z mikrobloga

Skopiuj link

07.03.2020, 18:39:46

Czy react jest bezpieczny? W jaki sposób mogę sprawdzić czy użytkownik może coś zrobić? Niezależnie od tego czy robię zapytanie do serwera, aby to sprawdzić, czy pobieram wartości z reduxa, czy sprawdzam jakąś wartość w localStorage czy z czegokolwiek innego, to przecież odpowiedź i tak jest zwrócona do klienta i to tam jest ten jeden "if" np. if (response.userLoggedIn == true) { zrób coś }. A skoro ten "if" jest po stronie klienta to przecież ktoś może go całkowicie zamienić, odwrócić itp. Czy moje myślenie jest prawidłowe? Jeśli nie to poproszę o jakieś wytłumaczenie/artykuł/filmik, cokolwiek
#react #javascript #programowanie

C.....y

konto usunięte 07.03.2020, 18:42:28

@Alodnog: Kolego, niezależnie od użytej biblioteki albo frameworka, weryfikacja uprawnień użytkownika po stronie klienta to pomysł równie dobry, co podcieranie się jeżem. Jeśli masz dane wrażliwe i zależne od uprawnień/autoryzacji/autentykacji, trzymasz je na serwerze i zwracasz do klienta, a nie robisz jakieś dziwne miksy. Jak sam zauważyłeś, podmiana tego lokalnie jest trywialna.

Solidly

07.03.2020, 18:42:40

@Alodnog: Prawidłowe. Dlatego też cała taka logika musi być w backendzie. Frontend jest użytkownika i nic z tym nie zrobisz.

Alodnog
konto usunięte

Zavis

07.03.2020, 18:42:43

@Alodnog: walidację robisz po stronie klienta ORAZ po stronie serwera

Alodnog

07.03.2020, 18:55:28

@Solidly: @Czesiowcy: @Zavis: A więc dla przykładu: Chcę pokazać użytkownikowi jakieś zdjęcie na stronie po tym jak poda prawidłowe hasło. A więc robię zapytanie do serwera, aby sprawdzić czy podane hasło się zgadza. Hasło jest prawidłowe. I co dalej? Jak mam temu użytkownikowi pokazać to zdjęcie? Mam na serwerze zrobić komponent ze zdjęciem i wysłać go do klienta? Może robię z siebie idiotę, ale nie potrafię tego pojąć...

schriker

07.03.2020, 18:57:27

@Alodnog: Po stronie serwera weryfikujesz użytkownika i czy dany użytkownik ma dostęp do zdjęcia jeśli tak to zwracasz np. adres do zdjęcia, jak nie to walisz errorem.

Zavis

07.03.2020, 19:10:13

@Alodnog: Masz np. logowanie w appce Reactowej, w którym użytkownik przekazuje do serwera login i hasło wysyłając request pod endpoint, np. "/api/login". Serwer weryfikuje podany login i hasło z credentialsami użytkownika w bazie, a jeśli są prawidłowe, to generuje mu token (poczytaj o JWT) + ew. dodatkowo zwraca obiekt usera zawierający np. jego role/uprawnienia. FE (React) zapisuje gdzieś ten token, żeby był dostępny po przykładowo odświeżeniu strony. Możesz też wprowadzić np.

veranoo

07.03.2020, 23:58:25 via Wykop Mobilny (Android)

@Alodnog: react jest tylko gui dla aplikacji. Cała logika powinna odbywać się po stronie serwera jak stwierdzili przedmówcy.

Alodnog

08.03.2020, 09:05:38

@Zavis: A jeżeli chodzi właśnie o ten panel administratora? No bo mogę zwrócić z serwera link do tego przykładowego obrazka, ale jeżeli chodzi o cały komponent, całą stronę? Muszę ją wysłać z serwera? Bo wyrenderowanie jej na kliencie na podstawie odpowiedzi serwera jest niebezpieczne

oMatej

08.03.2020, 09:28:55

@Alodnog: od strony klienta, tak jak napisał @Zavis nie powinieneś np. wyświetlać linku do strony /admin, jeśli ktoś nie ma odpowiednich uprawnień. Ale, jeśli taka osoba przekopie sobie kod źródłowy i znajdzie link do tej strony to może ją odwiedzić bezpośrednio.

W takiej sytuacji, możesz zabezpieczyć całą stronę podobnym middlewarem, jeśli jej załadowanie wymagało zapytania do serwera. Jeśli nie, a użytkownik został tam przekierowany np. za pomocą react-routera, to

Alodnog

Hauleth

08.03.2020, 11:59:12

@Zavis: prawie, zamiast tokena JWT ciastko z sesją i działa.

LaylaTichy

08.03.2020, 17:47:41 via Wykop Mobilny (Android)

@Alodnog: zawsze możesz zrobić apke z ssr

Nie wiem jak to wygląda w reacie bo nie używałem tam ssra ale tu masz np doc z vue, powinno być podobnie

https://ssr.vuejs.org/