alestro
@alestro

Как хранить идентификатор пользователя на frontend? Есть ли смысл переходить на OAuth?

Суть в общем -то в названии. Сейчас у меня есть api на php и фронтенд на vue, которые находятся на одном домене (php рендерит front) После успешного ввода логина и пароля бекенд посылает httpOnly куку с id текущей сессии, а на фронте я пишу userId в localStorage. Для проверки залогинен пользователь или нет фронт ищет uid в хранилище и если находит, то пользователь залогинен, но при текущем подходе на фронте можно спокойно записать любой uid в localStorage и пройти по закрытым роутам под видом пользователя, хотя запросы к api на изменение не пройдут, без авторизационной куки, но запросы на чтение данных вполне себе (фронт авторизуется на бекенде по другой куке с id клиента). Как лучше хранить id пользователя на фронте и стоит ли прикручивать oauth2 with pkce?
  • Вопрос задан
  • 54 просмотра
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы