Как правильно хранить состояние между клиентом и сервером (php + node)?

Question

[Александр Панков]

Здравствуйте

Разрабатываю магазин: бекенд на php7.4 фронт на node.js (nuxt)
на php написал апи, пока все что касается GET запросов
приложение на vue шлет запросы на url с бекендом и получает данные
все окей

сейчас стоит задача написать POST\ PUT \ DELETE методы
для бизнес-логики - это сохранение товаров в корзине, создание заказа, авторизация и регистрация

Хочу узнать как это правильно делать, накидайте ссылок на статьи или репозитории, уроки?
понимаю что нужен флаг состояния (как сессия или куки), но в случае с api этого не используется поэтому нужен какой-то токен, который добавлять к запросам всегда, но как это все организовать - пока нет общей картины в голове, читаю про OAuth2.0 и не понимаю нужен ли он мне? про JWT токены, подскажите туда хотя бы смотрю ну и подтолкните пожалуйста
Заране благодарен за любые ответы

сейчас хочу сделать корзину заказа для не авторизированного пользователя, не могу понять что мне генерировать, в какой момент и как хранить и передавать, защищать и обновлять этот самый токен?

Comments

[Константин Б.]

накидайте ссылок на статьи или репозитории, уроки

Самому впадлу искать?

Answer 1

[ThunderCat]

понимаю что нужен флаг состояния

Нет, флаги это про другое, это про булево состояние, а вам нужен ключ / токен.

но в случае с api этого не используется

Схренали? Используется, просто называется по другому, ну и метод обмена может быть разный - заголовки, параметры, тело...

не могу понять что мне генерировать,

Для не авторизированного достаточно просто какой-то рандомный хэш в качестве ключа, если вы не храните какие-то важные данные об этом пользователе, более серьезно - bearer в заголовках в принципе очень норм.

Comments

[Александр Панков]

ThunderCat Спасибо

Правильно ли я все понял касательно API магазина для сайта и мобильного устройства

Если клиент не авторизован и заходит на сайт\приложение

• 1.1) просматривая товары и другие страницы дергаются только GET запросы и никаких токенов пока не нужно (за исключением личного кабинета)
  
• 1.2) как только неизвестный клиент кладет товар в корзину, я создаю в базе информацию и генерирую например JWT токены (access\reresh) и передаю их на клиент (клиент у себя их как-то хранит и c этого момента access в заголовке всегда мне отдает)
  
• 1.3) по заголовку я всегда знаю, что сессия с клиентом не закончилась и легко получаю всю его корзину, избранные, недавно просмотренные и тп из своей бд\redis
  
• 1.4) как только он логинится\регается, я в бд записываю его id (в таблице с корзинами заполняю поле user_id чтобы знать чья это корзина), но передавать он мне попрежнему access продолжает, который ранее получил, положив самый первый товар в корзину
  

Если клиент автризован и заходит на сайт\приложение все аналогично только логика начинается с шага 1.3 тк токены у клиента уже есть и по ним я информацию могу получит

мобильное приложение не знаю где хранит токены (наверняка там есть у них хранилище)
а сайт (nuxt.js) хранит токены в куках

все ли я верно понял и можно реализовывать по такой схеме? она верная и используется?
Хочется написать правильно, чтобы другим людям (фронтендшиками и мобильным разработчикам) се было понятно и удобно, те сделать все по правилам

[ThunderCat]

Александр Панков, Вообще каждый фреймворк имеет 3-4 варианта исполнения корзины, что уже говорит о том что тема неоднозначная и вариантов решение чуть больше одного. Тут от задачи зависит, от ситуации, от политики партии, от имеющихся готовых решений или от вашей фантазии. Есть инструменты - токены, ключи, куки, локалсторэйдж и тд. Как их скомбинировать конкретно под вашу задачу - знаете только вы. В целом описанный вами алгоритм выглядит норм, если реализация не будет непрозрачной и кривой, то никто в целом не будет возмущаться что у вас кривое гуано, тем более если оно стабильно работает и выполняет свою задачу.

Answer 2

[Владимир Коротенко]

В заголовках ставите xautthirity и гоняете запросы с этим коротким токеном