Правильно ли оставлять JS в открытом виде?

Question

[Mors Clamor]

Всем доброго времени суток. Есть сайт с элементами соц. сети. В попытках сделать его динамичным без React и иже с ним, делаю что-то вроде этого:

Весть js вынесен в main.js. там объявлены функции, там же они и вызываются.

function getUserPosts(user_id) {
....
}

function setLike(post_id) {
....
}

Также явно указываются такие вещи:

ws = new WebSocket("ws://127.0.0.1:8000/?user="+user_id);
    ws.onmessage = function(evt) {
      temp = JSON.parse(evt.data);

Не покидает ощущение, что всё через известное место делаю. Подскажите пожалуйста, как правильнее сделать (на фреймворк потом перетащу)?

Comments

[Модератор]

https://toster.ru/help/rules
3.8

[Mors Clamor]

Модератор, пардон, исправляю

Answer 1

[Антон Неверов]

Как хотите - так и делайте. JavaScript вообще сумасшедший на "стандарты" разработки.

То, что вы боитесь засветить секретные ключи доступа к базе данных - это правильно, но нужно понимать, что доступы к БД не должны находится на клиенте. Всё обрабатывает сервер и, по возможности, человек на клиенте вообще не может лишний символ вбить в инпут без разрешения "сзади".

Делайте API, делайте авторизацию в API, если у вас есть система пользователей. Все данные получайте через API. Клиент будет видеть только адрес запрос, тело запроса и тело ответа, а какие-чудо механизмы произошли между запросом и ответом - должно остаться на бекенде.

Comments

[Mors Clamor]

У меня была мысль поднять RESTful API чисто для внутреннего пользования, но я не совсем понимаю, как его сделать именно "внутренним". На что-то вроде OpenAuth у меня сил пока нет. И вообще, насколько это хорошая идея?

[Антон Неверов]

Как хотите - так и делайте. JavaScript вообще сумасшедший на "стандарты" разработки.

Если вы только изучаете языки - то, конечно, опыт в создании API будет явно не лишним. Если боитесь авторизации - не делайте её вовсе, ничего страшного в этом нет. Если методы API ничего не ломают они могут быть открытыми.

[Mors Clamor]

Антон Неверов, А если я подниму API на отдельном домене/поддомене, как правильно делать к нему запросы? Через curl? Это безопасно?

[Антон Неверов]

На бекенде из PHP - через curl или библиотеку Guzzle.
На клиенте - через jQuery AJAX или XHR.

Делать запросы - это, само по себе, безопасно всегда.

[Mors Clamor]

Антон Неверов, Хорошо, спасибо!

Answer 2

[Enj0y]

А как иначе? Можете обфусцировать если прям хочется.

Comments

[Mors Clamor]

Я переживаю, что в открытый доступ попадет какая-то логика, которая не должна туда попадать

[Enj0y]

66demon666, Такой логики в клиенте и не должно быть, клиент отправил запрос на сервер, а сервер уже всё проверил и сделал.

[sim3x]

66demon666, всю логику вы проверяете на бекенде