veryoriginalnickname
@veryoriginalnickname

Безопасно ли делать два типа авторизации?

Допустим API /user/login. В запросе приходит username, password и authType. Если authType = "cookie", то токен приходит в виде кук. Если authType = "direct", то токен приходит в виде JSON {token: token}. Использовать это API будет SPA, и логиниться будет через authType cookie. Второй тип авторизации (не-куки) чисто на всякий случай, вдруг захочется сделать приложение для смартфона или еще чего. Вопрос: безопасно ли делать все это вот так?
  • Вопрос задан
  • 181 просмотр
Решения вопроса 1
@oleg_ods
Второй тип авторизации (не-куки) чисто на всякий случай


Не мучайте себе одно место. Когда появится необходимость добавите еще один тип авторизации. При добавлении «на всякий случай» получаете неиспользуемый код который нужно постоянно поддерживать(и не факт что он когда то будет использоваться). А если просто добавить его и забить на поддержку, то тогда этот способ и станет потенциальной уязвимостью.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы