Защита токена на стороне клиента?

Question

[Хазрат Гаджикеримов]

Какие есть способы защиты токена на стороне клиента?
Допустим есть сайт, в нем на фронте при определенном событии отправляется запрос на сторонний сервис для хранения данных, так вот меня интересует, любой недоброжелатель может просто скопировать токен и например очистить хранилище.
пример url с токеном:
https://example.com/4508hghgh34g87r34545/get - чтение
https://example.com/4508hghgh34g87r34545/set - запись

какие средства можно внедрить в сервис для защиты от простого копирования?
Естественно помимо CORS, он включен.
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.

Вообщем интересно узнать мировые практики защиты токена на клиенте

Answer 1

[Дмитрий Энтелис]

Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.

Все что ушло на клиент - Вам больше не принадлежит.
Хотите как-то привязаться к бизнес-логике своего проекта, своим статусам итд - пишите на своем бекенде мини сервис, который будет пробрасывать запросы во внешний сервис, заодно делая все необходимые проверки на бизнес-логику итд.

Comments

[Хазрат Гаджикеримов]

Понятно, я думал о каком-нибудь механизме, например генерации кодов каждые 10 секунд, но это сильно усложнит логику приложения, придется оставить так

[InoMono]

Хазрат Гаджикеримов,

например генерации кодов каждые 10 секунд, но это сильно усложнит логику приложения, придется оставить так

это не эффективно.
дело даже не в усложнении.

вполне достаточно уничтожать сессию после Х минут простоя.

Answer 2

[InoMono]

Авторизация. Разделяй и властвуй.
Неча давать каждому встречному поперечному больше прав чем ему нужно для выполнения повседневных задач.
Для выполнения редких задач - можно потребовать еще раз пройти аутентификацию. Не встречали разве - ты можешь делать на сайте чего угодно, но когда в личном кабинете меняешь ключевую информацию - требуют ввести пароль еще раз.

Answer 3

[Станислав Бодро́в]

Суть токена недопустить ни при каких условиях доступ к его содержимому.
В него данные входят, обрабатываются, выходят. Всё. Он чёрный ящик. Никакими запросами и уговорами нельзя из него что-то считать. Поэтому

Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.

даже чтение его содержимого (ключ, сертификат) достаточное условие для компроментации.
Поэтому, по настоящему, токен - отдельный недоступный ни откуда сервис, который принимает данные и отдаёт обработанные. Как он это делает, должно быть тайной.