Как обеспечить безопасную авторизацию, если админка и сервер на разных хостах?
Добрый день,
Появилась необходимость реализовать такую штуку с оптимальным решением в плане безопасности. Раньше вел проекты на одном хосте (сразу клиент и сервер) и авторизацию хранил в сессиях. Недавно решил разделить клиента (пользовательская часть и админка) и сервер (База данных, серверная часть на PHP) посредством общения на REST. при этом я не имею возможности использовать CSRF. В куках я так понял - не очень хорошее решение хранить авторизационные данные. Краем глаза слышал про токены. Посоветуйте вариант, добрые люди!
JSON Web Token https://jwt.io/
Все довольно тривиально, ставишь либу, при авторизации отдаешь токен пользователю, он его хранит в localStorage к примеру при каждом XHR запросе он шлет этот токен в хедере, на сервере проверяешь этот токен из хедера через JWT либу.
Средний
