Задать вопрос
hazratgs
@hazratgs
api

Защита токена на стороне клиента?

Какие есть способы защиты токена на стороне клиента?
Допустим есть сайт, в нем на фронте при определенном событии отправляется запрос на сторонний сервис для хранения данных, так вот меня интересует, любой недоброжелатель может просто скопировать токен и например очистить хранилище.
пример url с токеном:
https://example.com/4508hghgh34g87r34545/get - чтение
https://example.com/4508hghgh34g87r34545/set - запись

какие средства можно внедрить в сервис для защиты от простого копирования?
Естественно помимо CORS, он включен.
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.

Вообщем интересно узнать мировые практики защиты токена на клиенте
  • Вопрос задан
  • 560 просмотров
Комментировать
Подписаться 3 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 3
DmitriyEntelis
@DmitriyEntelis
Думаю за деньги
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.
Все что ушло на клиент - Вам больше не принадлежит.
Хотите как-то привязаться к бизнес-логике своего проекта, своим статусам итд - пишите на своем бекенде мини сервис, который будет пробрасывать запросы во внешний сервис, заодно делая все необходимые проверки на бизнес-логику итд.
Ответ написан
2 комментария
2 комментария
@InoMono
Авторизация. Разделяй и властвуй.
Неча давать каждому встречному поперечному больше прав чем ему нужно для выполнения повседневных задач.
Для выполнения редких задач - можно потребовать еще раз пройти аутентификацию. Не встречали разве - ты можешь делать на сайте чего угодно, но когда в личном кабинете меняешь ключевую информацию - требуют ввести пароль еще раз.
Ответ написан
Комментировать
Комментировать
jenki
@jenki
Суть токена недопустить ни при каких условиях доступ к его содержимому.
В него данные входят, обрабатываются, выходят. Всё. Он чёрный ящик. Никакими запросами и уговорами нельзя из него что-то считать. Поэтому
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.
даже чтение его содержимого (ключ, сертификат) достаточное условие для компроментации.
Поэтому, по настоящему, токен - отдельный недоступный ни откуда сервис, который принимает данные и отдаёт обработанные. Как он это делает, должно быть тайной.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript разработчик на интеграцию API деловых линий с AMO CRM удаленно
Sky Cargo Service
от 25 000 ₽
QA engineer (настройка автоматизации на PyTest), тесты API, UI.
HR BIG G
До 250 000 ₽
Intern System Analyst
Media Code
До 30 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Создать телеграмм бот на Python
25 апр. 2024, в 19:21
10000 руб./за проект
Разработка дизайна для мобильного приложения
25 апр. 2024, в 18:47
2795100 руб./за проект
Ищем программиста для поддержки сайта на PHP Laravel/Symfony
25 апр. 2024, в 18:36
10000 руб./за проект
Ещё заказы