Как сохранить токен в php-файле и его получать через js?

Question

[Елена]

Мне нужно в js делать запрос с токеном. Я ничего больше не придумала, как его сохранить в php-файл и потом его получать от туда. Только я не знаю php)) И тем более, если буду обращаться к этому файлу, то по сути можно потом этот файл открыть через путь и он также выдаст токен, что не должно быть. Как это делается правильно?

Comments

[Adamos]

Попробуйте пропустить этот шаг и упереться в следующий: что запрос с токеном из JS упирается в CORS и вам все равно надо делать запрос из РНР.

[Adamos]

TheAndrey7,

в php файлах кроме кода программы никогда ничего не хранят.

Ну, /bitrix/.settings.php - это, конечно, не авторитет.
Но ларовский /config/database.php, например?

[Ипатьев]

Вы ещё подеритесь, горячие финские парни.

[Adamos]

Ипатьев, да полноте. Терминологические споры, товарищи!

Answer 1

[Иван Будаков]

PHP-файл не вернет токен, если его об этом не попросить, с фронта отправляем запрос на PHP-контроллер, а то, что он вернет вы указываете сами, он может вернуть как токен если необходимо, так и результат запроса

Comments

[Елена]

так и другой посторонний человек тоже сможет обратиться к этому файлу и также получит токен

[Adamos]

Елена, значит, вам - внезапно! - нужно научиться отличать постороннего человека от непостороннего. Это называется "авторизация", например.

[Елена]

Adamos, я бы лучше CORS сделала, если это возможно сделать в php

[Ипатьев]

Adamos, не нужно уводить чела в сторону, он и так в штанах путается.
Авторизация это частный случай, и ненужно усложнение.
Пусть делает курлом.
А авторизация к этому параллельно

[Adamos]

Елена, в РНР это не требуется делать. CORS - защита от левых запросов из браузера. А на сервере - просто отправляете запрос и получаете ответ.
Другое дело, что ваш РНР-скрипт, который отправляет запрос, тоже сможет вызвать любой, кто зашел на ваш сайт. Если, конечно, вы сами собираетесь запускать его, именно заходя на сайт. И тут мы снова возвращаемся к авторизации.

[Елена]

Ипатьев, да что это за "курл"?

[Adamos]

Ипатьев, может, ТС свернет на более правильный путь и перестанет велосипедить? Возьмет CMS или фреймворк, в которых все это уже есть, и будет учиться правильному по правильному, а не высасывая из пальца грабли и испытывая их собственным лбом.

[Елена]

Adamos, это когда cms стала правильным путем? Еще предложи JQ, как божественную библиотеку.

[Ипатьев]

Елена, я даже не знаю, что на это ответить. Прочесть мой ответ я уже вам советовал.

[Adamos]

Елена, а когда CMS стали неправильным путем для чайников, которые сами не разбираются? jQuery божественно избавлял от геморроя с Осликом, сейчас это неактуально, но, ЧСХ, код на jQ от этого работать не перестал.

[Елена]

Ипатьев, да прочитала. Я знаю про эти запросы, если вы про них. Они ничего не дают. Чтоб мне обратиться из js в БД нужен секретный токен. Это не про те токены которые хранятся на клиенте, где-то в куках или стораже. Токен один. Для прав админа

[Ипатьев]

У вас просто удивительная способность не понимать прочитанное.
Ну хорошо, всем эти запросы дают, а вам не дают. Задача не имеет решения.

[Елена]

Ипатьев, все дошло какой метод предложили, спасибо.

Answer 2

[Ипатьев]

Делать запрос не напрямую из js, а обращаться к php скрипту на сервере. В РНР делать запрос курлом и возвращать ответ обратно в js.
Примеров что в сети, что конкретно на этом сайте - миллионы. Вот свежий
Если не знаете РНР и не готовы учиться, то за готовым кодом на https://freelance.habr.com/

Comments

[Елена]

да нет у меня сервера. Был бы он вообще не было вопросов

[Ипатьев]

Вы тогда что-то ещё не понимаете.
РНР файл бывает только на сервере.
Если нет сервера, то нет и РНР файла.

Но я очень сомневаюсь, что сервера у вас нет. Потому что яваскрипт в браузер тоже должен откуда-то попадать. Так что скорее всего сервер у вас есть.

[Елена]

Ипатьев, ну вот создам я файл php у себя на проекте, загружу на хостинг(сервер), но ведь другой левый чел, также может получить токен, если обратиться к этому файлу. Мне в js нужно получать токен. И как я обращусь не напрямую, а через php на сервере? Мне же все равно нужен он в js. Замкнутый круг какой-то

[Ипатьев]

Нужно прочитать мой ответ.