Wpis z mikrobloga

Skopiuj link

14.08.2020, 07:39:47

JWT + React. Czy jak sprawdzam czy uzytkownik jest zalogowany to wystarczy ze sprawdze czy token z local storage ( czy jest tam ) lub wygasł czy powinienem wykonać request na server w celu sprawdzenia poprawnośći tokenu. Głównie chodzi mi o zabezpieczanie routes ale zeby tez w czasie odswiezenia strony uzytkownik ktory ma poprawny token nie został wylogowany
#programowanie #react

Hauleth

14.08.2020, 07:42:19 via iOS

@Koprowy: powinieneś wysłać do serwera. A najlepiej to użyć ciastek zamiast Authentication: Bearer

Koprowy

14.08.2020, 07:49:47

Czyli np zrobić np route /valid i kiedy user odświeża stronę sprawdzać czy token wygasł lub tez nie został zmieniony?

cybul26

14.08.2020, 07:54:57 via Wykop Mobilny (Android)

@Koprowy: no ale czy przy odświeżeniu strony nie wysyłasz requestu o jakieś dane i w nagłówku nie wysyłasz tego tokena? Jeżeli będzie niepoprawny, backend zwróci błąd i powinno być wszystko okej. No chyba, że to jakaś podstrona bez ładowania danych z backendu, wtedy request sprawdzający token jest wskazany.

Koprowy

14.08.2020, 07:59:17

@cybul26: Faktycznie, robie GET na praktycznie każdym route. Więc wtedy dostane Unauthorised 401 i przekieruje do logowania. Dobra dzięki wielkie ;)

relationbrewingarea

14.08.2020, 08:12:56 via Wykop Mobilny (Android)

@Hauleth: czemu używać ciastek w przypadku PWA?

Hauleth

14.08.2020, 08:30:44

@relationbrewingarea: a gdzie trzymasz token? WebStorage? Jak tak to jedno XSS może spowodować, że cała aplikacja będzie złamana. JWT z Bearer dzielnie stara się naprawić wszystkie problemy, które ciastka mają rozwiązane już od dawna.

relationbrewingarea

14.08.2020, 08:38:46 via Wykop Mobilny (Android)

@Hauleth: używam localStorage. JS przecież ma dostęp do ciasteczek, które nie są HTTP-only, a te które są i tak są załączane do zapytań wykonywanych przez JS, więc i tak jest to podatne na XSS.