Wpis z mikrobloga

Skopiuj link

14.08.2020, 07:39:47

JWT + React. Czy jak sprawdzam czy uzytkownik jest zalogowany to wystarczy ze sprawdze czy token z local storage ( czy jest tam ) lub wygasł czy powinienem wykonać request na server w celu sprawdzenia poprawnośći tokenu. Głównie chodzi mi o zabezpieczanie routes ale zeby tez w czasie odswiezenia strony uzytkownik ktory ma poprawny token nie został wylogowany
#programowanie #react

Hauleth

14.08.2020, 07:42:19 via iOS

@Koprowy: powinieneś wysłać do serwera. A najlepiej to użyć ciastek zamiast Authentication: Bearer

Koprowy

14.08.2020, 07:49:47

Czyli np zrobić np route /valid i kiedy user odświeża stronę sprawdzać czy token wygasł lub tez nie został zmieniony?

cybul26

14.08.2020, 07:54:57 via Wykop Mobilny (Android)

@Koprowy: no ale czy przy odświeżeniu strony nie wysyłasz requestu o jakieś dane i w nagłówku nie wysyłasz tego tokena? Jeżeli będzie niepoprawny, backend zwróci błąd i powinno być wszystko okej. No chyba, że to jakaś podstrona bez ładowania danych z backendu, wtedy request sprawdzający token jest wskazany.

Koprowy

14.08.2020, 07:59:17

@cybul26: Faktycznie, robie GET na praktycznie każdym route. Więc wtedy dostane Unauthorised 401 i przekieruje do logowania. Dobra dzięki wielkie ;)

cybul26

relationbrewingarea

14.08.2020, 08:12:56 via Wykop Mobilny (Android)

@Hauleth: czemu używać ciastek w przypadku PWA?

Hauleth

14.08.2020, 08:30:44

@relationbrewingarea: a gdzie trzymasz token? WebStorage? Jak tak to jedno XSS może spowodować, że cała aplikacja będzie złamana. JWT z Bearer dzielnie stara się naprawić wszystkie problemy, które ciastka mają rozwiązane już od dawna.

konto usunięte

relationbrewingarea

14.08.2020, 08:38:46 via Wykop Mobilny (Android)

@Hauleth: używam localStorage. JS przecież ma dostęp do ciasteczek, które nie są HTTP-only, a te które są i tak są załączane do zapytań wykonywanych przez JS, więc i tak jest to podatne na XSS.

Hauleth

14.08.2020, 08:41:25

@relationbrewingarea: dla tego HTTP-only cookies

danek_szy

relationbrewingarea

14.08.2020, 09:12:37 via Wykop Mobilny (Android)

@Hauleth: tyle że tak jak pisałem wcześniej one też są podatne na XSS, a dodatkowo jeszcze na CSRF. Ciasteczka nie nadają się do użycia z API.

danek_szy

15.08.2020, 10:17:04

@relationbrewingarea: Nie do końca, bo nie są wysyłane do obcych originów...

relationbrewingarea

15.08.2020, 10:53:25 via Wykop Mobilny (Android)

@danek_szy: zależy od konfiguracji CORS.

danek_szy

15.08.2020, 11:42:02

@relationbrewingarea: Wszystko możesz źle skonfigurować. Nie jest to argument przeciwko czemukolwiek...

Aktywne Wpisy

Kapitalista777

Kapitalista777 +339

5 godz. i 11 min temu

Z tą zmianą definicji gwałtu pędzimy w zawrotnym tempie w stronę Hiszpanii. Już wkrótce to ty będziesz musiał udowadniać, że miałeś zgodę, a nie kobieta, że została zgwałcona. W zeszłym tygodniu skierowanie prac do komisji poparły WSZYSTKIE partie w Sejmie.

A teraz was zastrzelę. Wiecie, że w Hiszpanii zakazany jest tzw. catcalling, czyli zaczepianie kobiet na ulicy czy np. gwizdanie na nie. I uwaga - dotąd było to wykroczenie, obecnie jest to

DROBNY_PIJACZEK

DROBNY_PIJACZEK +23

5 godz. i 31 min temu

#przegryw #ukraina Moja matka emerytka właśnie powiedziała, że idzie wojna i żebym szukał sobie zawczasu pracy za granicą, bo z okopów się nie wychodzi. Jestem trochę zaskoczony, bo w domu nie rozmawiało się do tej pory o wojnie ( ͡° ʖ̯ ͡°)

Aktywne Wpisy

Aktywne Znaleziska

Jest kolejne śledztwo ws. eksplozji granatnika w Komendzie Głównej Policji

Dlaczego kobiety kłamią, że nie interesują ich pieniądze?

Bójki z imigrantami w Sofii. Mieszkańcy mają dość

Były inżynier Google aresztowany. Wykradał tajne dane o AI dla Chin

Kontrowersje dot. awansu w stołecznej policji. "Szokująca kariera"

Popularne tagi