Как хранить настройки сайта?

Question

[Golopolos]

Доброго времени суток!
Подскажите, как мне правильно поступить.
Имеется бекенд на expressjs, фронтенд на nextjs

На бекенде есть некоторые правила записанные в файле
на фронтенде есть небольшая админка, в ней через get запрос по api, я читаю этот файл
и вывожу данные в админку для будущих изменений.
Например

EnableRegister=true
Oauth=false
GOOGLE_SECRET_KEY=asndfksandklsandkasl
Далее другие настройки, например через сколько пользователь может удалить комментарий и тд

На фронтенте, чтобы мне применить определенную переменную
к примеру EnableRegister, я получаю весь файл в json потом обращаюсь к конкретной строке

Пользователь видит весь файл через консоль.
Потому что он обращается к конкретному get api url, который отдает ему этот файл и оттуда берется переменная

Как сделать так, чтобы не видел он этого?

Как делают настройки сайта, с редактированием в админке и при этом использует это на фронтенде и пользователь не может увидеть весь запрос.

Если хранить это все в БД, сути не меняет.

Comments

[szQocks]

пусть они смотрят эти настройки, главное что бы изменять их не могли

Answer 1

[Rsa97]

Два базовых правила:
1. Всё, что передаётся пользователю, он может увидеть.
Если не хотите, чтобы пользователь что-то видел, просто не передавайте это на фронт. Отправляйте только то, что пользователю можно видеть.
2. Всё, что приходит от пользователя требует проверки.
Если вы не хотите, чтобы пользователь мог прислать на бэк недостоверные данные, просто не принимайте их без проверки.
В обоих случаях, чтобы знать, что конкретному пользователю можно видеть и что он может прислать требуется аутентификация/авторизация как минимум для пользователей с повышенными правами.

Comments

[Golopolos]

Я это понимаю.
Но вот например, чтобы пользователю поставить лайк, он должен быть зарегистрирован 10 дней. Значение 10 он видит сразу.

На фронте я делаю эту проверку,
Значение 10, может изменяться в админке.

Так вот чтобы это значение 10 вывести, он запрашивает файл settings, в котором он видит не только конкретную строку, а весь файл

[szQocks]

Golopolos, разумеется если логика у юзеров должна отрабатывать в зависимости от этих настроек - логично что бы они могли их получать на клиент у себя, что бы с клиента не отправлялись лишние запросы

[Rsa97]

szQocks, Пользователь должен видеть не настройку "10 дней", а статус - можно или нельзя ему ставить лайки. Самое логичное - при авторизации возвращать все разрешения пользователя и его персональные настройки, если таковые есть.

[szQocks]

Rsa97, лучше будет если будет не статус там, а дата ( регистрации юзера + настройка того, через сколько дней он может ставить лайки 10 ) и на клиенте и на сервере от этой даты регистрации и настройки этой ( 10 дней ) проверять прошли ли эти 10 дней

[Golopolos]

szQocks, но чтобы поменять эти 10 дней, нужно лезть в код.

Также в этом файле я храню ключи от капчи и тд, при запросе юзера к файлу он видит все

Так как ключи прописываются в админке

[szQocks]

Golopolos, ну так ты ключи то не отдавай на клиент, отдавай лишь настройки которые влияют на функционал других пользователей

+ когда ты изменяешь например настройку 10 дней да ? было бы неплохо юзерам это изменение отправить, например через сокеты, уведомить их о том что вот такой-то такой то параметр был изменен, что бы у них моментально проверка была уже не на 10 дней, а на изменённое число - новое число ( это я имею ввиду про проверку на стороне клиента ), что бы небыло такого что ты изменил запись с 10 на 12, а у юзеров на клиенте осталось 10, а на сервере проверяет 12

[szQocks]

Golopolos,

но чтобы поменять эти 10 дней, нужно лезть в код

тогда причём тут админка ? если это статика которая не изменяется динамически через админку

кароч пофиг

[Golopolos]

szQocks, так вот я и спросил поэтому,
Если я хочу прописывать ключи капчи в админке, на фронте соответственно нужно указывать эти ключи, где их хранить?

Если к примеру я в файле
Подключаю
client_id={hfhjfffhh}
secret_key={тут нужен ключ который где то хранится и может быть изменен в админке}
/>

[szQocks]

Golopolos, не надо хранить ни какие ключи на фронте, рановато тебе ещё админку делать мне кажется, попробуй разобраться в том как работает фронт с бэком

[Rsa97]

szQocks, Пользователю должен отдаваться самый минимум, то есть флаг "показывать кнопку лайков". Если флага нет, но пользователь влез в код и отправил таки лайк вручную, то срабатывает второе правило - после проверки пользователю сообщается "ай-яй-яй, вам пока нельзя ставить лайки".
Если настройка изменилась в большую сторону, то пользователь просто получит предупреждение. Если в меньшую, то ничего страшного, что пользователь сможет ставить лайки только после перезагрузки страницы или повторного логина.

[szQocks]

Rsa97, это плохой подход, мне лень расписывать что тут не так, но если нужно, могу расписать

то срабатывает второе правило - после проверки пользователю сообщается "ай-яй-яй, вам пока нельзя ставить лайки"

это уже относится к лимитам, это тут вообще не каким боком не агрумент, хотя это даже и не к лимитам относиться - это даже работать не будет, потому что на сервере одни данные а на клинте вообще другие

[szQocks]

Rsa97, то что там руками кто-то на клиенте что-то поменять может - это норм ситуация, и тем самым может отправить лишний запрос на бэк, на запрос конечно же не пройдёт так как на сервер проверка будет нормально отрабатывать на то может ли он поставить лайк

если у юзера с момента регистрации прошло 9 дней а нужно 10, и в это время админ изменил 10 дней на 5 дней, то юзер узнает об этом лишь после получения новых данных с сервера, а новые данные он может получить только лишь после перезагрузки или логина да ? так как твоя идея заключается в том что бы формировать флаг на бэке

моя идея в том что бы формировать этот флаг на клиенте в зависимости от даты регистрации и настройки кол-ва дней, как только они изменяются каждый юзер онлайн узнает об этом и ему не нужно будет дополнительный перезагружать страницу и .тд
я просто предложил это заменить на сокеты, вещать онлайн юзеров о том что вот тут то тут - глобальные настройки для всех вас изменились

[szQocks]

Rsa97,

Если настройка изменилась в большую сторону, то пользователь просто получит предупреждение

и тем самым отправит лишний запрос на сервер, а реалтайм отслеживание этих настроек, позволит избежать этого

просто представил что с момента регистрации юзера прошло 11 дней, и настройка стоит равная 10 дней, то есть спустя 10 дней юзер может ставить только лайки

в итоге, юзер зашёл на сайт, получил флаг true, так как с момента регистрации прошло более 10 дней, а именно 11, то есть он может ставить лайки и тут бам в этот момент админ изменил значение на 20, а у того юзера обновитсья этот флаг только лишь после перезагрузки и т.д ( то есть он сможет отправлять лишние запросы до тех пор, пока не перезагрузит страницу к примеру ) это плохо

[Rsa97]

szQocks, Остаётся крошечный вопросик - на кой ляд городить такую систему ради настройки, которая меняется раз в пятилетку?

[szQocks]

Rsa97, для удобства пользователей, что бы не было ситуации, что у пользователя на клиенте отображается UI ( которого он видеть не должен, это критично ) о том что он якобы может ставить лайки, но по факту - не может, либо наоборот не отображается UI который он видеть должен ( но этот вариант не особо критичен )

+ если этот UI отображается, то значит юзер может отправить запрос на бэк ( без вмешательства в код ручёнками ) - запрос будет отправлен на бэк ( понятно что он закончиться неудачей, так как на бэке будут реальные обновленные данные, но сам факт что запрос отправиться но не пройдёт и пользователь будет думать почему он не может поставить лайк )

[Rsa97]

szQocks, В том, что пользователь видит кнопку лайка, которой не может воспользоваться, нет ничего критичного.
А чтобы пользователь не гадал, почему он не может поставить лайк, должна быть правильно сделанная система сообщений об ошибках, что гораздо важнее, чем живое изменение настроек на фронте.

[szQocks]

Rsa97, ладно, если всё ещё мой вариант кажется плохим, представь что там 50 таких настроек, на клиенте в зависимости от настроек отображаются тот или инной UI, какие-то относятся к определённому юзеру каждому, какие-то относятся ко всем юзерам ( глобальные )

если через админку какому-то юзеру изменить настройку, было бы неплохо если бы он сразу узнал об этом а не когда обновит страницу верно ? и что бы у него отобразилось сразу то что нужно - тогда выход через сокеты ему сказать об этом

так же и с глобальными настройками, только вещать там уже всем юзерам а не одному конкретному

[szQocks]

Rsa97,

А чтобы пользователь не гадал, почему он не может поставить лайк, должна быть правильно сделанная система сообщений об ошибках

ну вот это как аргумент, тогда твой вариант тоже имеет место быть

[Rsa97]

szQocks, Настройка настройке рознь. Лайки явно не относятся к критическим вещам, об изменении которых пользователя надо извещать моментально.
А критические настройки, IMHO, проще засунуть в JWT, который обновляется раз в 10-15 минут. Это будет более универсальным решением, чем вебсокет.

[Golopolos]

Rsa97, А если пользователь не авторизован. И доспустим скрывать какой то блок, в зависимости от настроек

[szQocks]

Golopolos,

А если пользователь не авторизован. И доспустим скрывать какой то блок, в зависимости от настроек

локальные настройки можно сохранять в localStorage

пример, пользователь зашёл на сайт и сменил тему, с тёмной на светлую ( сохранить инфу об этом в localStorage и нет проблем )

[Rsa97]

Golopolos, От каких настроек? Если от настроек сервера, то просто не надо этот блок пользователю передавать вообще. Если от настроек пользователя, то, как написал szQocks, в localStorage, только эта настройка будет своя в каждом браузере, которым пользователь входит на сайт.

[Golopolos]

Если честно, читаю ваши комментарии, и вижу полную ахинею.

Какой локалсторедж.
Нужно не нужно, это совсем не по теме.

Возьмем допустим cms DLE
Если мы зайдем в админку, там все настраивается через нее.

Разрешена/запрещена регистрация
Какая карма должна быть у пользователя для опрелеленных действий и тд

Причем тут jwt и локалстор?

Если в любом шаблоне нужно делать
If else с проверкой на какую то настройку из файла или бд которую указал админ в настройках сайта

[Rsa97]

Golopolos, Элементарно.
Вот добавили вы на сайт кнопочку, которая переключает светлую и тёмную темы. И зашёл на ваш сайт некий пользователь, который не хочет регистрироваться, а просто так зашёл, посмотреть. И включает он себе тёмную тему, а по умолчанию тема светлая. Где вы будете хранить настройку незарегистрированного пользователя? Или при следующем заходе на сайт ему снова переключать тему вручную?

[Golopolos]

Rsa97, причем тут темная или светлая тема?
Это понятно что в сторе записать

Я про другое спросил

Answer 2

[Wispik]

пользователь не может увидеть весь запрос

Никак. Всё что приходит на фронт, пользователь видит. Можно конечно извратиться и шифровать ответ на сервере и расшифровывать на фронте. От простых юзеров это поможет, в девтулс будет видна зашифрованная строка. От тех кто в догадается открыть js это не поможет.
Но какой в этом смысл, ну и пусть пользователь видит, жалко что ли))