Защита токена на стороне клиента?

Какие есть способы защиты токена на стороне клиента?
Допустим есть сайт, в нем на фронте при определенном событии отправляется запрос на сторонний сервис для хранения данных, так вот меня интересует, любой недоброжелатель может просто скопировать токен и например очистить хранилище.
пример url с токеном:
https://example.com/4508hghgh34g87r34545/get - чтение
https://example.com/4508hghgh34g87r34545/set - запись

какие средства можно внедрить в сервис для защиты от простого копирования?
Естественно помимо CORS, он включен.
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.

Вообщем интересно узнать мировые практики защиты токена на клиенте
  • Вопрос задан
  • 547 просмотров
Пригласить эксперта
Ответы на вопрос 3
DmitriyEntelis
@DmitriyEntelis
Думаю за деньги
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.
Все что ушло на клиент - Вам больше не принадлежит.
Хотите как-то привязаться к бизнес-логике своего проекта, своим статусам итд - пишите на своем бекенде мини сервис, который будет пробрасывать запросы во внешний сервис, заодно делая все необходимые проверки на бизнес-логику итд.
Ответ написан
@InoMono
Авторизация. Разделяй и властвуй.
Неча давать каждому встречному поперечному больше прав чем ему нужно для выполнения повседневных задач.
Для выполнения редких задач - можно потребовать еще раз пройти аутентификацию. Не встречали разве - ты можешь делать на сайте чего угодно, но когда в личном кабинете меняешь ключевую информацию - требуют ввести пароль еще раз.
Ответ написан
Суть токена недопустить ни при каких условиях доступ к его содержимому.
В него данные входят, обрабатываются, выходят. Всё. Он чёрный ящик. Никакими запросами и уговорами нельзя из него что-то считать. Поэтому
Я больше беспокоюсь о том, что пользователь может прямо в консоли отправить запрос на перезапись данных.
даже чтение его содержимого (ключ, сертификат) достаточное условие для компроментации.
Поэтому, по настоящему, токен - отдельный недоступный ни откуда сервис, который принимает данные и отдаёт обработанные. Как он это делает, должно быть тайной.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы