Андрей: конечно изменённый, ты даже можешь(хотя не знаю зачем это нужно) в цепочке заменить экшен на совершенно другой. И получится, что задиспатчил один экшен, а до редьюсера дошёл другой. Вообщем, делать можно что угодно, главное передавать вниз по цепочке экшен(тот же самый, либо измененный, либо совершенно другой)
уже читал, хорошая статья, но всё же не до конца раскрывает тему.
Хотелось бы найти статью, которая тупо скажет, сделайте это, затем это, затем то, и всё будет норм, которая покажет всё что нужно, для того чтобы этого было достаточно. Но пока ничего такого(супер конкретного и подробного) не нашёл.
Ilkon Правильно ли я понимаю, что получив токен на клиенте, я должен достать некий md5-hash из токена(не совсем понятно как это сделать, подскажите) и указать его в качестве payload новосозданного токена, помещённого затем в куки. И почему это должно прокатить. Не может ли злоумышленник провернуть всё то же самое(или для него это будет слишком сложно)?
p.s. если какой вопрос показался глупым, извиняйте, я просто пытаюсь понять как всё это должно работать)
Ilkon то есть злоумышленник, похитивший токен, сделав запрос на апи ничего не получит ибо на сервере будет проверяться соответствие токена в заголовке токену который в куках. У злоумышленника в куках токена не было, поэтому ничего у него не выйдёт. А если он поместит токен в куки и уже потом сделает запрос, тогда получается что всё у него прокатит?
у нас на бекенде aws. то что ты написал ляжет на плечи api gateway сервиса(если я не ошибаюсь). а он будет проверять соответствует ли токен в куках токену, передаваемому в Autorization заголовке?