Wpis z mikrobloga

@Di4bllo: na obu, bo frontend wysyła zapytania przez przeglądarkę, a więc od klienta, a nie jakoś bezpośrednio. Zamiast ustawiać tu i tu, to lepiej sobie reverse proxy (np nginx) postawić i tam skonfigurować SSL. Jbc to zamiast kupować możesz z darmowego letsencrypt skorzystać.

@Di4bllo: zależy jak to działa od zewnątrz? Kto serwuje frontend? Jak coś osobnego od backendu to potrzebujesz ogarnąć httpsa po obu stronach. Najprościej będzie:
* niech backend serwuje API i pliki frontowe
* albo jakiś serwer np. ngnix serwuje pliki frontowe i jest jednocześnie reverse proxy do backendu. W tym podejściu backend nie musi ogarniać httpsa, bo wszystko robi ngnix

@Di4bllo: polecam też opcję nr 2 od przedmówcy, a jak podepniesz api w jakiejś prefiksowanej ścieżce np. /api, to wszystko formalnie zostaje w tej samej domenie, więc z jednej strony nie trzeba certyfikatu z wildcard a z drugiej nie ma żadnego Cross-Origin do odblokowywania specjalnie bo to ciągle ta sama domena

zakupiony certyfikat SSL

@Di4bllo: płatne SSL to scam już od wielu lat. kiedyś była jeszcze zielona ikonka przy adresie, ale dawno wszystkie przegladarki to #!$%@?

@Di4bllo: Przede wszystkim powinieneś zabezpieczyć komunikację przeglądarka<->Frontend. Komunikacja Front<->backend, nawet jeśli jest na tym samym serwerze powinna być szyfrowana. A to ze względu na to, że jak ktoś wparuje na serwer to będzie mógł podsłuchać cały ruch. Komunikacja pomiędzy backend a front-end musi być takim certyfikatem, któremu jedno i drugie będzie ufać.