Где лучше хранить токен для запроса на сторонний ресурс?

Question

[Tdvist]

Как лучше реализовать хранение токена, который используется для CORS запросов. И как его использовать.

Comments

[mahmudchon]

Смотря в чем заключается безопасность (хотя тут скорее всего конфиденциальность), а также какие технологии используются в проекте.
Это может быть как файл, так и запись в базе данных. А там уже как доступы настроите.
Очень мало вводных данных, чтобы сформировать грамотный полноценный ответ.

[Tdvist]

mahmudchon, А какие есть варианты? Без хранения в БД.

[mahmudchon]

Tdvist, просто записать в файл, например, любой текстовый. А вот уже касаемо настройки доступа к нему - надо отталкиваться от сервера и тп.

[calculator212]

Tdvist, есть jwt, но как вам уже ответили безопасного способа хранения на фронте токена нет.

[mahmudchon]

calculator212, да это понятно, вводных данных мало было, мб человек просто работает узко на каком то проекте, где есть серверная часть, но он ее не касается и лишь фронтом занимается. Тогда можно было бы совсем другое решение дать.
Ведь изначально речь шла про запросы, для которых этот токен нужен. Это уже обсудили ниже.

[Tdvist]

calculator212, да я понимал, что скорее всего нет) Стояла задача реализовать добавление задачи(с кастомными полями и вложениями) по возможности без участия бэка. Я проверил, что возможность есть. Добавил источники для CORS запросов на youtrack, сформировал сам запрос, связал его со своим сервисом. И встал вопрос хранения токена для запросов на youtrack. Я понимаю, что идея плохая и надо просить, чтобы сделали руту для реализации данной задачи с бэка, но МАЛО ЛИ я чего-то не знаю)

[Tdvist]

учитывая, что сам youtrack позволяет это делать.

Answer 1

[Михаил Р.]

как безопаснее его хранить на фронте

Слова безопаснее и фронте противоречат друг-другу. В любом случае, если это конфиденциальная инфа, то ее должен обрабатывать сервер, а на фронт отдавать результат своей работы.

Comments

[Tdvist]

Я понимаю, имел ввиду есть ли механизм без запросов хранить какую-нибудь переменную доступную только для чтения (в которой будет хранится токен). Которую я буду использовать на фронте для отправки запросов.

[Adamos]

Tdvist, а вы вообще уверены, что ваш запрос будет отправляться с фронта?
Сплошь и рядом то, что требует токена, требует заодно и сервера (из-за CORS).

[Tdvist]

Adamos, Я это уже сделал. Беру апиху youtrack и создаю задачи с вложениями.

[Adamos]

Tdvist, при отправке запроса с фронта тот, кто сидит на этом фронте, все равно видит содержимое запроса, о безопасности тут и речи быть не может. Ну, запишите в LocalStorage.

[Griboks]

Похоже, тут идёт речь о токене на фронте для токена на бэке от внешнего сервиса.

[calculator212]

доступную только для чтения

Так это и есть небезопасно, условный злоумышленник при наличии уязвимости сможет прочитать это и украсть.

[pfg21]

тогда уж использовать какой-нить сессионный токен, который работает ограниченное время и используется для доступа с фронта. все данные и подключения фронта и так доступны пользователю фронта.

Answer 2

[Герман Бежев]

99% токенов хранятся в localstorage
в них не должно содержаться никаких логинов/паролей/уязвимой инфы, вся безопасность должна крутиться на бэке
обычно это пара authToken/refreshToken, если нужно еще хардверно привязать то лучше системные куки + фингерпринт какой нибудь

простой ответ - localstorage
для остального надо подробный кейс

Answer 3

[kyzinatra]

В httpOnly куках. Но устанавливать их должен сервер. Это достаточно безопасная схема