Можно ли каким-то образом зашифровать данные ключем API между react.js и laravel?

Question

[Ivan Huk]

Есть сайт на laravel + react.js. Он полностью работает на ajax запросах.
фронт собираеться webpack;
можно ли каким то образом зашифровать данные ключем?

Comments

[xmoonlight]

...ключом...
фронт собирается...
....данные ключом?
ППЦ.

Answer 1

[Александр Аксентьев]

Можно, и с таким же успехом расшифровать в браузере можно будет если что.

Comments

[Ivan Huk]

Александр Аксентьев да, но если зашифровать сам ключ и зжать его вместе с js-файлами в вебкаке то для парсинга оно усложнит задачу

[Ivan Huk]

Задача состоит в том чтобы на сервере закодировать текст к примеру токеном laravel и на фронте тем же токеном расшифровать

[Somewhere Intech]

Ivan Huk, поставили под сомнение цель вашего вопроса

[Ivan Huk]

Johnny Lowhunter, это я свой взгляд на решение задачки написал, а цель вопроса - узнать у експертов как максимально можно защитить данные, вожможно у кого-то будут идеи получше

[Александр Аксентьев]

Ivan Huk,

да, но если зашифровать сам ключ и зжать его вместе с js-файлами в вебкаке то для парсинга оно усложнит задачу

примерно на 5-10 секунд усложнит ага)

Ничего от браузера нельзя защитить, если он должен с этим работать и понимать что происходит.

[Ivan Huk]

Александр Аксентьев, почему 5-10 сек?
Вся логика на фронте, реакт полностью отрисовывает блоки, но он получает json.
Я же хочу этот json каким-то образом зашифровать.
Вариант брать как приватный ключ токен самого laravel

[Александр Аксентьев]

Ivan Huk, ну так в чем смысл этого шифрования заключается?
Скрыть от человека в браузере информацию?

Ничто не помешает открыть Developer Tools -> Sources и найти код который расшифровывает данные и ключ в этом коде.

[Александр Аксентьев]

защита от парсинга делается ограничением количества запросов в N время к апи, каптчами или вообще авторизацией в апи обязательной.

И это не лечит парсинг как таковой, а только замедляет его до приемлемого уровня чтоб не заддосили тупо например.

Answer 2

[xmoonlight]

Два варианта:

1. Защита от прослушки: сессия зашифрована заранее (почта, смс) и ключ на работу с данными, привязанный к ключу сессии, передаётся вместе с этими данным, зашифрованные этим же ключом.

2. Защита от использования хранимых данных владельцем хранилища (сервиса): Ключ хранится локально у пользователя-создателя-контента. Сервер только хранит зашифрованные данные и не знает что в них.

Answer 3

[Вячеслав Плиско]

Да, это не проблема. Только с какой целью.
Прежде всего нужно использовать https - это защитит вообще трафик к сайту от сниферов.
Можно шифровать на сервере с помощью какого-нибудь aes или любого другого алгоритма, респонс шифруете на сервере, а на клиенте расшифровываете в js. Вот только ключ в браузере можно получить имея к нему доступ, так что совсем уж секьёрно не получится.