Задать вопрос
@dev123
single-page-application

Насколько безопасны SPA-приложения?

Недавно начал изучать тему SPA-приложений и появился вопрос по безопасности.

К примеру, есть приложение: фронтенд на Vue.js и бэкенд в виде API на Laravel. Есть раздел, в который пускаем только авторизованных пользователей. Получается при аутентификации и авторизации получаем с сервера токен, затем во фронте кладём токен например, в переменную user. Затем перед переходом в закрытый раздел делаем проверку, что-то вроде:
if (user) {
    // пускаем пользователя в закрытый раздел
}

Вопрос в том, что сейчас ведь есть много инструментов, с помощью которых можно изменить код javascript прямо в браузере и выполнить его. Может ли злоумышленник вручную добавить значение в переменную user и потом выполнить код (который выше в примере) и перейти в закрытый раздел?
  • Вопрос задан
  • 599 просмотров
1 комментарий
Подписаться 2 Средний 1 комментарий
Решения вопроса 3
sergey-gornostaev
@sergey-gornostaev
Седой и строгий
Если бэкенд делал не дебил, то валидность данных и права пользователя проверяются при каждом запросе. Соответственно, злоумышленник меняет значение переменной, попадает в закрытый раздел, в котором ничего не работает.
Ответ написан
Комментировать
Комментировать
erniesto77
@erniesto77
oop, rb, py, php, js
Бэк должен проверять каждый запрос, валидный токен или нет (есть пакеты для Laravel которые все за вас делают)
На фронте вы не сможете обеспечить безопаснось на 100%, только на бэке
Ответ написан
2 комментария
2 комментария
ArsenyMatytsyn
@ArsenyMatytsyn
Руководитель frontend направления, предприниматель
Весь код, который загружен в клиент — дыры в безопасности бэка, даже при условии токенов, ведь все пути обращений, типы описаны.

И это актуально, если мы говорим про Rest API, который преследует логику stateless бэка. Ничего не мешает скрещивать бэк и фронт, ИМХО.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 2
@deliro
1. На фронтенде безопасности не бывает;
2. ... А тут только один пункт.
Ответ написан
Комментировать
Комментировать
@Karpion
В данном случае надо сделать так, чтобы зловредный юзер не мог узнать никакой валидный токен другого юзера. Т.е. надо при авторизации генерировать реально случайное число (псевдослучайное - нельзя), которое бэкенд хранит у себя всё время сессии. Теперь зловредный юзер утомится подбирать токен.

Для безопасности часто делают так, что при очередном обращении нормально авторизованного юзера - ему меняют токен на новый, а старый становится недействительным.

Если юзер выходит из системы - то его токен становится недействительным.

Проверка токена делается не на клиенте, а в бэкенде. И не "перед переходом в закрытый раздел", а при каждом обращении.
Клиент только хранить токен и предъявляет его бэкенду.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Веб-разработка и управление IT в Sortage
Sortage Москва
от 180 000 ₽
Backend PHP Разработчик
Integrilla
от 120 000 ₽
PHP Разработчик - Team Lead
Integrilla
от 150 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Исправление ошибок в работе вебсайта / Доработка интернет-магазина
24 апр. 2024, в 02:51
50000 руб./за проект
Анимация логотипа
24 апр. 2024, в 00:08
20000 руб./за проект
Разработка дизайна раздела «Статьи» на сайте «Мир отходов»
23 апр. 2024, в 23:01
10000 руб./за проект
Ещё заказы