vyrkmod, тогда можно просто опустить момент с солью. Каптча + таймауты на множественные запросы и блокирование учетки при вычислении перебора. Я думаю, что этого достаточно будет
sim3x, я не считаю, что это допустимые способы обхода. Если я посадил к себе за компьютер или дал в руки свой телефон вредителя и он упер мой токен, логин, пароль, секретные данные, то виноват в этом я сам, а не сервис, который их использует.
Предложенная мной схема работает во множестве крупных IT-компаний. Хотел бы я посмотреть, как вы будете обходить сервис, который блокирует токен на первом же скомпроментированном запросе.
Станислав, да, я уже прочитал коммент выше. На самом деле, странно, что они не дают ответа на POST запрос более понятным образом, например, что не тот метод отправки.
sim3x, такое возможно всегда и везде. Никто не даст никакой гарантии защиты, если у злоумышленника есть физический доступ, к устройству. Чтобы разрешить эту проблему отслеживаются сессии и пользователю отправляется уведомление о новом подключении и он уже сам решает оставить его, если это он, или же блокировать.
sim3x, ну, чтобы его скопировать, его нужно сначала узнать, а это уже вопрос защиты пользовательской стороны. Когда я делаю токены, то они создаются на основе различных полей и метрик, такие как идентификатор устройства, IP-адрес, User-Agent и тд. Т.е, если его просто скопировать на другое устройство это ничего не даст, потому что токен будет невалидным
hckn, это подойдет, если мы допускаем, что у пользователя может быть несколько активных сессий, например с разных устройств. А если только одна должна быть активной, то просто затирать все предыдущие =)
Денис Всяченков, Ну тут уже нужно отделить приятное от полезного. Использовать динамический контент для CEO конечно нежелательно, но использовать обобщенные библиотеки для реализации, како-то функционала - почему бы и нет.
Денис Всяченков, подобные реализации мне не знакомы. Как правило, есть отдельный backend, который предоставляет API и отдельный frontend, который рисует данные, которые получил с API.
Пожалуй, единственный вариант, который сможет подойти для вашей задачи, это раздаваться с сервера некий скрипт, который будет подключаться на странице на frontend и монтироваться в DOM.
Денис Всяченков, теперь картина уже складывается у меня. Вы хотите имея обобщенный шаблон на frontend модернизировать его структуру с backend, путем вставки некого скрипта на страничку в шаблоне либо через изменения на сервере?
Денис Всяченков, Смотря, что понимать под построить всю страницу. Если речь о том, чтобы передать от backend сервера на frontend целиком страницу от до , то это, какой-то SSR уже получается и то, frontend тут будет лишним.
Если речь о том, чтобы отрисовать страницу внутри ... на frontend, то там все просто
