Задать вопрос
hazratgs
@hazratgs
api

Защита токена на стороне клиента?

Какие есть способы защиты токена на стороне клиента?
Допустим есть сайт, в нем на фронте при определенном событии отправляется запрос на сторонний сервис для хранения данных, так вот меня интересует, любой недоброжелатель может просто скопировать токен и например очистить хранилище.
пример url с токеном:
https://example.com/4508hghgh34g87r34545/get - чтение
https://example.com/4508hghgh34g87r34545/set - запись

какие средства можно внедрить в сервис для защиты от простого копирования?
Естественно помимо CORS, он включен.
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.

Вообщем интересно узнать мировые практики защиты токена на клиенте
  • Вопрос задан
  • 561 просмотр
Комментировать
Подписаться 3 Простой Комментировать
Ответ пользователя Станислав Бодро́в К ответам на вопрос (3)
jenki
@jenki
Суть токена недопустить ни при каких условиях доступ к его содержимому.
В него данные входят, обрабатываются, выходят. Всё. Он чёрный ящик. Никакими запросами и уговорами нельзя из него что-то считать. Поэтому
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.
даже чтение его содержимого (ключ, сертификат) достаточное условие для компроментации.
Поэтому, по настоящему, токен - отдельный недоступный ни откуда сервис, который принимает данные и отдаёт обработанные. Как он это делает, должно быть тайной.
Ответ написан
Комментировать
Комментировать