Kentavr16
@Kentavr16
long cold winter

Применим ли такой способ авторизации?

Здравствуйте. В процессе написания своего проекта столкнулся с вопросом, как лучше всего обрабатывать аутентификацию пользователя. Бекенд на ларавел, для аутентификации использую web-guard с отправкой куки. Есть несколько мыслей и вопросов по поводу сопряжения бекенда+фронта.
1) Нормально ли то что вместо токенов я использую куки? Правильно ли я сделал вывод что в случае если бекенд и фронт будут на одном сервере, фактически без разницы что использовать?
2) при https есть ли необходимость внедрять crsf токен?
3) нормально ли то, что для проверки вошёл ли пользователь я хочу использовать статус ответов сервера? То есть настроить аксиос на редирект на страницу входа если статус 401? Второй вариант - передавать в куки/теле ответа объект текущего пользователя. Неясное ощущение того что я придумываю велосипед.
Не посчитайте флудом. Каждый вопрос для меня важен, но в то же время не тянет на отдельную тему.
  • Вопрос задан
  • 648 просмотров
Решения вопроса 2
@Kostik_1993
Web Developer
1. Нормально если гибрид, Если SPA можно и jwt прикрутить
2. Это несвязанные между собой вещи
3. Отдавать 401 да. Для получения пользователя делайте один отдельный запрос.
Ответ написан
@calculator212
1) В целом зависит от ситуации, но использовать куки это всё еще норм, т.к. если вы плохо понимаете jwt, то можете несколько дыр создадать. В целом токен часто и хранят в куке. Смотря что вы подразумеваете под разницей, но в большинстве случаев есть разница т.к. jwt использует несколько реализаций. Access/Refresh токены, которые вы не можете отозвать и соотвественно завершить сессию принудительно как с куки, если вы создаёте white listс токенами то по сути это уже близко к реализации с куки но всё равно есть отличия.

2) Нужно внедрять https не особо влияет на эту атаку. Также есть заблуждение что cors спасает, но тут уже вам нужно будет разобраться с этим, но если лень, то можно просто подключить этот токен (его не сложно подключать).

3) Тут несколько вариантов. Можно редирект возвращать а можно 401 и форму с логином. Можно обработчик сделать на js и при 401 редиректить на страницу с логином как удобнее так и делайте
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы