@Sergey750il

Как проверить токен?

Доброго времени суток. На SPA 2 страницы доступные без авторизации (главная, корзина) и закрытый персональный кабинет. Как лучше проверить токен сохраненный в localstorage при заходе на сайт? отправлять холостой запрос на авторизованный эндпоинт и если приходит 401 то менять статус?
  • Вопрос задан
  • 72 просмотра
Пригласить эксперта
Ответы на вопрос 1
bingo347
@bingo347
Crazy on performance...
Как лучше проверить токен сохраненный в localstorage при заходе на сайт?
Хранить токен в localStorage - не очень хорошая идея, так как любой скрипт на любой странице сайта сможет прочитать такой токен и сделать с ним что угодно (например отправить на свой сервер для последующего массового взлома).

отправлять холостой запрос на авторизованный эндпоинт и если приходит 401 то менять статус?
Токен должен отправляться в каждый запрос, который требует не гостевых привилегий, иначе смысла нет в токене.

Единственный адекватный на сегодня вариант хранения токенов - это кука с флагами secure и http-only.
Флаг secure обеспечит, что кука будет доступна только по https.
Флаг http-only не даст доступ к этой куке из JS, прочитать ее сможет только сервер.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы