Применим ли такой способ авторизации?

Question

[Kentavr16]

Здравствуйте. В процессе написания своего проекта столкнулся с вопросом, как лучше всего обрабатывать аутентификацию пользователя. Бекенд на ларавел, для аутентификации использую web-guard с отправкой куки. Есть несколько мыслей и вопросов по поводу сопряжения бекенда+фронта.
1) Нормально ли то что вместо токенов я использую куки? Правильно ли я сделал вывод что в случае если бекенд и фронт будут на одном сервере, фактически без разницы что использовать?
2) при https есть ли необходимость внедрять crsf токен?
3) нормально ли то, что для проверки вошёл ли пользователь я хочу использовать статус ответов сервера? То есть настроить аксиос на редирект на страницу входа если статус 401? Второй вариант - передавать в куки/теле ответа объект текущего пользователя. Неясное ощущение того что я придумываю велосипед.
Не посчитайте флудом. Каждый вопрос для меня важен, но в то же время не тянет на отдельную тему.

Comments

[JhaoDa]

Это не авторизация.

Answer 1

[Константин Б.]

1. Нормально если гибрид, Если SPA можно и jwt прикрутить
2. Это несвязанные между собой вещи
3. Отдавать 401 да. Для получения пользователя делайте один отдельный запрос.

Comments

[Kentavr16]

То есть использование https никак не влияет на возможность кросс-сайтовой подделки запроса?

[Александр]

Kentavr16, если речь именно о куках, то в них есть параметр SameSite и при верной настройке они не буду прикладываться к каждому запросу.

[Kentavr16]

Александр, похоже мне предстоит более тесное ознакомление с вопросами безопасности. На данный момент я не совсем понимаю ценность csrf токена. Политика использования куки вроде бы и так защищает от отправки запроса с сайта третьей стороны на мой сервер. Стоит мне сейчас заниматься разбирательством с csrf или в базовом случае достаточно настройки кук?

[Александр]

Kentavr16, возможно это видео поможет немного разобраться.

[Kentavr16]

Александр, Спасибо! Действительно крутое видео, много вопросов отпало. Доступно и информативно, то что нужно.

Answer 2

[calculator212]

1) В целом зависит от ситуации, но использовать куки это всё еще норм, т.к. если вы плохо понимаете jwt, то можете несколько дыр создадать. В целом токен часто и хранят в куке. Смотря что вы подразумеваете под разницей, но в большинстве случаев есть разница т.к. jwt использует несколько реализаций. Access/Refresh токены, которые вы не можете отозвать и соотвественно завершить сессию принудительно как с куки, если вы создаёте white listс токенами то по сути это уже близко к реализации с куки но всё равно есть отличия.

2) Нужно внедрять https не особо влияет на эту атаку. Также есть заблуждение что cors спасает, но тут уже вам нужно будет разобраться с этим, но если лень, то можно просто подключить этот токен (его не сложно подключать).

3) Тут несколько вариантов. Можно редирект возвращать а можно 401 и форму с логином. Можно обработчик сделать на js и при 401 редиректить на страницу с логином как удобнее так и делайте