Как правильно на фронтенде хранить авторизованного пользователя?

Question

[aleps]

День добрый!
Вопрос по пониманию, мучаюсь с логикой как правильно,
и как правильно делают другие :)

У меня есть сервер на node.js который формирует токен JWT и в куки с флагом httpOnly передаёт его на фронтенд (у меня vue).
например, так:

res.cookie('AuthToken', authToken, { httpOnly: true, secure: true })

соответственно на VUE из js доступа к токену "AuthToken" нет.

На бэкенд токен принимается так (так как передать в axios запросе в headers его уже нельзя(или я не знаю как?):
req.cookies['AuthToken']
На этом этапе всё работает.

суть:
токен создал, обмениваюсь им с фронтенд и бэкендом,
но где и как хранить сами данные пользователя(логин, какая-то инфа о пользователе)?
т.е. тело JWT на vue я разобрать не могу,
приходит мысль отдельно передавать ещу одну куку"AuthToken_2"
с бекэенда типа так

res.cookie('AuthToken_2', JSON.stringify(user), { httpOnly: false})

и на фронте уже с нее брать логин и инфу.

Сейчас на middleware на node.js я в каждом запросе отсылает AuthToken и AuthToken_2 в куки.
Т.е. при каждом обращении серверу этот токен обновляется в куках (мысль чтобы всегда проверять его на актуальность(ну типа, а вдруг забанен?)).

не могу разобраться, как во VUE (у меня SPA) забирать каждый раз актуальный AuthToken_2 ?

P.S. я думал подключить vuex и типок акто так:
в header.vue:

computed: {
    reversedMessage: function () {
      return  this.$store.state.count
    } 
},

а во VUE router типо так:

router.beforeEach( async (to, from, next) => {
  store.getters.doneTodos
  next()
})

vuex такой

getters: {
    doneTodos (state) {
      return state.count = Cookies.get('AuthToken_2')
    }
 }

как я понимаю getters инициирует обновление значение <со>count

и все якобы работает, только с "запозданием на страницу". то есть, сами куки то приходят не мгновенно, и в момент перехода по роуту он берет еще старое значение.
p.s. я, конечно, не уверен что это AuthToken_2 (логин, какая-то инфа о пользователе) будет меняться часто, но тем не менее.

хочу проконсультироваться, возможно мой подход вообще ужас :(

Громаднейшее спасибо тому, кто поймет меня разжует логику того как нужно

Comments

[Evgeny Kulakov]

Почему просто не сделать api метод для получения данных о пользователе?

[aleps]

Evgeny Kulakov, поясните, пожалуйста, подробнее
где и как их правильно хранить?

при авторизации я же получаю данные о пользователи и вставляю их в токен и куки

[Evgeny Kulakov]

Просто разделите функциональность - одна отвечает за авторизацию, другая за получение данных о пользователе.
1. Метод login - записывает токен сессии в куку. Тут не надо передавать больше никаких данных - это некий уникальный идентификатор, который вас идентифицирует на сервере и может, например, храниться в таблице сессий. При бане удаляем его из этой таблицы. Все ваши защищенные методы должны пойти для начала и посмотреть есть ли токен сессии в базе, если нет, то отдать ошибку, а фронт должен на нее среагировать и перейти на страницу авторизации.
2. Метод profile - получает данные о пользователе, сохраняет их для дальнейшего использования (vuex, localstorage etc.)

Еще есть ощущение, что есть некоторая путаница в том как сервер работает с пользователями. Две основные стратегии:
- сессия - то что описано выше, т.е. сервер знает кто у него авторизовывался, т.е. по сути хранит состояние у себя.
- JWT токен, когда информация о пользователе(не все что с ним связано, а только чтобы его идентифицировать) хранится в токене, а также другие параметры типа времени жизни. Когда сервер получает запрос, он разбирает токен, идентифицирует пользователя и выполняет свою логику. В данном случае сервер не хранит состояние об авторизации у себя, все вводы он делает на основе токена. Чтобы забанить юзера с валидным токеном, нужно создавать white/black list и сверяться с ним. Подробности лучше погуглить.

[aleps]

Evgeny Kulakov, все классно спасибо!

2. Метод profile - получает данные о пользователе, сохраняет их для дальнейшего использования (vuex, localstorage etc.)

нужно ли при каждом переходе по роутам или обновлении странице обновлять эти данные? или ддостаточно один раз при авторизации принять и сохранить их на фронденде.

я правильно сложил логику(?): из сервере я передаю эти данные в куках, потом на фронтенд сохраняю во vuex? (только это нужно делать при каждом обращении к серверу, обновлении страницы, например?)

p.s. я помню правило, что на сервере с этими данными о пользователя не работаю, доверяю только токену и проверяю его.

[Evgeny Kulakov]

Ммм, надо понять что собой фронт представляет, это SPA?
Если да, то роутингом как правило управляет vue-router, это программное управление, т.е. без перезагрузки страницы.
В общем случае при загрузке приложения вы запрашиваете данные пользователя и сохраняете их в какое-то место из которого их сможет при необходимости потребить любой компонент вашего UI, как правило это vuex или что-то подобное.
Соответственно, при перезагрузке страницы все повторяется - пользователь запрашивается и сохраняется. Если токен протух например на момент запроса, то от бэка должна прилететь ошибка, а фронт должен перейти на авторизацию.

Данные пользователя в куках вам не зачем отправлять, просто сделайте стандартный get и в теле возвращайте данные.

[aleps]

Evgeny Kulakov, спасибо!
и финальное, коль у Вас сегодня настроение на подробное объяснения иметься :)

у меня SPA.
Есть компонент header.vue и, например postList.vue и postPage.vue.
Сам header статичный, а с роутингом меняется только отображена страниц postList и postPage.

Так вот, переходя по страницам из postList в postPage я посылаю запросы на сервер за какими-то данными и в middleware на сервере каждый раз проверяю токен( все так?).
Нужно ли при смене этих страниц постоянно запрашивать (обновлять) данные пользователя? (на фронтенде)
Если да, то можно каждый раз через get, как вы сказали, запрашивать а в "прослойке" router.beforeEachсохранять их в во vuex.

Где-то вычитал, что лишний get это лишнее обращение к серверу не хорошо каждый раз, и решил что можно в куках присылать данные пользователя. И сохранять в vuex .
Типо сейчас так в "прослойке" beforeEach делаю - store.getters.doneTodos, а в store doneTodo вытягивает данные с кук- return state.count = Cookies.get('AuthToken_2') и таким образом при каждом переходе у меня оказываются новые (актуальные данные пользователя ) во vuex.

но они не новые…, они предыдущие, т.к. куки обновляются с задержкой.
Если делать в beforeEach запросом get, то такого происходить не должно, но лишний раз при каждом переходе дергаем сервер.

[Evgeny Kulakov]

Так вот, переходя по страницам из postList в postPage я посылаю запросы на сервер за какими-то данными и в middleware на сервере каждый раз проверяю токен

Верно.

Нужно ли при смене этих страниц постоянно запрашивать (обновлять) данные пользователя?

Зачем?) Эти данные могут поменяться? Соберетесь менять эти данные из какой-нить страницы профиля пользователя - поменяете и тогда обновите новыми данные стейт vuex, и далее компоненты, которые его используют также реактивно будут обновлены.

Answer 1

[Владимир Коротенко]

Логично что при присылке токена можно добавить ещё джисон в котором будут пользовательские Настройки, сохраняете их в стор и дальше берёте из них. Либо после получения токена делаете редирект на пользовательский профиль там получаете информацию и сохраняете, и по желанию делаете редирект на ту страницу с которой был логин.

Comments

[aleps]

это при получении токена. получили, сохранили всё ок.
а при посещении страниц на vue SPA,
куки с пользовательскими данными "AuthToken_2" тоже каждый раз обновляю (т.е. на сервере разбираю сам токен и его тело отправляю в другом куки - AuthToken_2)
так вот vue то берет куки AuthToken_2 с "запозданием на страницу".

из Вашего сообщения я понял, что можно сразу из кук (AuthToken_2) получить пользовательские данные и сохранить его во vuex стор?

Другой вопрос назрел:
как следить за тем, что например пользователя забранили? - при каждом действий пользователя на сервере смотреть в бд и проверять или есть какой-то временной интервал "доверчивости"?

[Владимир Коротенко]

aleps, в общем то да. Хорошая практика не доверять пользователю никогда. То есть при запросе сначала проверяется валидность токена после отдаётся что то

Answer 2

[Сергей delphinpro]

отдельный роут на получение пользователя.
т.е. аутентификация, потом запрос данных. данные в localStorage. не забываем, что этим данным впоследствии особо доверять нельзя, и при операциях нужно проверять их валидность на бэке.