Может ли пользователь сменить переменную JS?

Question

[ch1ps01]

В общем, эксперементирую щас с созданием веб мини игры и для снижения нагрузки на сервер хочу сделать, что-бы всё происходило на стороне клиента, есть объект пользователя с балансом и прочими данными и каждые условные 30 секунд на апи сервера отправляется запрос для синхронизации данных с зашифрованным ключом, который на стороне сервера расшифровывается и если ключ совпадает, то всё проходит успешно, так вот в чём вопрос, так как всё происходит на стороне клиента, то пользователь в теории может ведь в условное поле баланса добавить своё значение и при синхронизации на сервер поступит фейковый баланс, так вот, как можно реализовать безопасную синхронизацию?

Comments

[szQocks]

нужно просто сверить баланс который прилетает с клиента, с тем балансом что есть в бд , если баланса достаточно для операции - выполняй её

[ch1ps01]

szQocks, я имел ввиду, что условно говоря игрок заработал 100 монет, мне их нужно именно добавить в балансу в бд, а не минусовать, в случае с тратой монет проблем нету

[szQocks]

ch1ps01, тебе нужно проверять заработал ли он - на уровне бэкенда, как ты будешь это делать - это уже решать тебе, из своего опыта могу лишь подсказать что подобное решается путём сравнения дат и каких-либо дополнительных данных

когда на уровне фронта отображается у тебя 100 голды якобы он заработал - это тебе всего лишь сигнал о том что можно послать запрос на бэкенд, что бы бэкенд всё там посчитал и выдал данные ( уже заработанных монет ), а не сигнал к тому что бы отправлять на бэкенд сумму которую чел заработал якобы на фронте

[fokit]

ch1ps01, данным, пришедшим с фронта можно доверять примерно никогда. за все расчеты должен быть ответсвеннен бэк, как ты это реализауешь, уже не совсем важно, главное, чтобы это удовлетворяло твоим потребностям.

Для тренировки рекомендую реализовать разные варианты, а потом на практике понять, где и в каком месте обшибся

[Владислав Лысков]

самое простое в лоб
у пользователя есть 100 монет
за действие А выдается 10 монет
не важно что он там наделал у себя на клиенте
добавляешь к его 100 10, при обновлении, он получит у себя на клиенте его законные 110 монет

Answer 1

[Сергей Горностаев]

То, что нельзя доверять данным полученным с клиента - это общеизвестное правило.

Answer 2

[Zukomux]

Баланс всегда должен приходить с сервера. Даже если пользователь совершил какую-то операцию, после этого необходимо заново запросить баланс. И считать единственным источником истины только результат верного ответа. Несмотря на то, что на фронте можно нарисовать любые цифры, на сервере всего будет истинное значение

Answer 3

[ZooMMaX]

Согласен с комментариями выше.
А ещё лучше вообще не делать расчёты баланса на стороне клиента. Меньше шансов поймать баг и/или уязвимость.

Answer 4

[Даниль Сафин]

Пользователь может читать и менять любые значения на клиенте. Шифровать трафик смысла нет. Максимум, если очень хочется сильно заморочиться, то можно подписывать данные на клиенте но и то это от взлома не спасёт, потому что пользователь сможет валидным ключом подписать невалилные данные, причем используя для этого логику вашего же клиента. Поэтому логику нужно держать на сервере, а не на клиенте. И да, забудьте про "снижение нагрузки на сервер" до тех пор, пока у вас не будет дофига пользователей и сервер перестанет справляться с нагрузкой (спойлер: скорее всего этого не случится вообще никогда)

Answer 5

[Алексей wddt.ru]

Если что-то типа кликера, где реально могут и 10 чел нагрузить бесплатный сервер, если каждую операцию отправлять на сервер, то ограничить количество кликов. У некоторых мультитач 2 касания принимает только. Считать раз в 10 сек, причём ограничить сервером максимум за 10 сек до какого-то + к количеству, которое реально можно накликать вручную. Взял любую тапалку, подготовил пальчики и минуту прожарил телефон. Посчитал среднее, накинул сверху процентов 20 для самых быстрых рук на тапом западе. И ограничил этим количеством максимум. Заодно можно поставить логирование тех, кто пытается тебя обмануть и банить по критериям. Хотя смысла банить особо нет, всё равно больше, чем твой максимум +20% не будет. Решил ты что больше 100 невозможно, значит 120+ уже попадает в список неблагонадежных клиентов.

Если это не тапалка и там не миллион запросов в секунду, то есть каждую операцию вполне можно передавать, то лучше так и сделать.