Ilkon Правильно ли я понимаю, что получив токен на клиенте, я должен достать некий md5-hash из токена(не совсем понятно как это сделать, подскажите) и указать его в качестве payload новосозданного токена, помещённого затем в куки. И почему это должно прокатить. Не может ли злоумышленник провернуть всё то же самое(или для него это будет слишком сложно)?
p.s. если какой вопрос показался глупым, извиняйте, я просто пытаюсь понять как всё это должно работать)
Ilkon то есть злоумышленник, похитивший токен, сделав запрос на апи ничего не получит ибо на сервере будет проверяться соответствие токена в заголовке токену который в куках. У злоумышленника в куках токена не было, поэтому ничего у него не выйдёт. А если он поместит токен в куки и уже потом сделает запрос, тогда получается что всё у него прокатит?
у нас на бекенде aws. то что ты написал ляжет на плечи api gateway сервиса(если я не ошибаюсь). а он будет проверять соответствует ли токен в куках токену, передаваемому в Autorization заголовке?
undefined_title: лучше не просто поискать ответы лишь бы знать их, а попытаться написать какое-нибудь несложное приложение(приложение, показывающее погоду, к примеру) и тогда по ходу пойдут вопросы, типа а как делать это или то, откуда делать запрос, как прокинуть состояние из стора и др. Это самый лучший способ.
Артём это просто смешно) во-первых я не использовал bootstrap, а foundation, не использовал jquery. у меня практически всё в em и rem. и вообще в том что вы говорите вообще нет смысла. Вы можете посмотреть исходный код в репозитории, чтобы во всём убедиться.
p.s. если какой вопрос показался глупым, извиняйте, я просто пытаюсь понять как всё это должно работать)