Как передавать токен при запросах к api из js?

Question

[alestro]

Собственно вопрос в раскрыт в названии, каким образом сделать запрос к апи не раскрыв токен из js

Comments

[WapSter]

На фронте ничего нельзя скрыть, другой вопрос зачем его скрывать, на то это токен.

[edward_freedom]

пошли запрос на свой сервер, который пошлет запрос используя токен и верни результат

[alestro]

WapSter, Так если просмотреть исходники можно получить токен и делать запросы под видом владельца токена, нет?

[WapSter]

alestro, смотря что ты называешь исходники. Если исходники на github к примеру, то у тебя нет понимания куда и как должны записываться токены. Если в devtools, то да можно делать запросы под видом владельца токена, но опять же смотря как ты на бэкенде организовал работу с токенами. Записывай в токен дополнительную информацию о клиенте допустим и сверяй её, ограничь время жизни токена

[alestro]

WapSter, я имел в виду именно devtools. Сейчас у меня есть следующая схема: Фронт на vue и бекенд на php. Во vue есть страница входа где пользователь вводит пару емейл/пароль. Вью отправляет все это дело на сервер, который сверяет данны и в случае успеха отправляет пару токенов access и refresh соответственно. И сейчас у меня встал вопрос как их безопасно хранить на клиенте и делать запросы к api. Ведь при запросах, например, через axios можно легко подрезать access token и делать запросы под видом пользователя. Я подумал отказаться от токенов и прикрутить server-side-rendering ко vue через v8js и заменить аутентификацию по токенную на стандартную сессию

[Василий Банников]

alestro,

И сейчас у меня встал вопрос как их безопасно хранить на клиенте и делать запросы к api.

Если эти токены привязаны к пользователю, то в чём проблема? Боитесь что пользователь увидит свой токен и будет использовать его отдельно от фронта? Или боитесь что какой-то вирус украдёт токен пользователя?

[alestro]

Василий Банников, через XSS вполне релально подрезать токен, или я не прав?

[Василий Банников]

alestro, если не давать пользователю встраивать в контент сайта скрипты, защитить фронт CSRF-ом, и пихать токены в http-only куки, то не вытащить.

[alestro]

Василий Банников, Так если пихать токены в httpOnly куки, то к ним не получить доступ из js

[Сергей delphinpro]

Ваш вопрос должен звучать так:
Как хранить JWT токен на клиенте?

Тогда вам и ответы релевантные будут, и язвить не будут, как в первом комменты. Да и вообще, тупо загуглив такой вопрос, вы найдёте кучу статей с подробной раскладкой, как надо делать и как не надо.

А вы вместо того чтобы задать правильный вопрос, придумываете кривое решение своей проблемы и спрашиваете как его реализовать.

[Василий Банников]

alestro, а зачем к ним доступ из жс? Фронту не нужен доступ к кукам - только серверу.
Ну и вообще использовать JWT на фронте - такое себе.

[alestro]

Сергей delphinpro, помимо хранения токена мне нужно как-то передать его на сервер

[alestro]

Василий Банников, Так а как мне запрос к api из js сделать, если токен хранить в httpOnly куке

[WapSter]

alestro, в заголовке, refresh post запросом