@Rockstar18 за меня задал более понятный вопрос. Видимо ему и мне интересен один и тот же вопрос - при условии что запросы обрабатываются с другого сервера есть ли еще способы защиты и идентификации этих запросов кроме токена? И насколько эффективен этот способ сам по себе (может и его можно обойти)?
@ScorpLeX спасибо за ответы. Вы меня успокоили. Но теперь я не понимаю смысла фиксированных доменов в соц. сетях для приложений если все это можно обойти :) Лишняя предосторожность?
Мне меньше всего хотелось бы узнать что может случиться в этом случае. Хотелось бы игнорировать все запросы приходящие не с клиентской стороны магазина. Это реально сделать? Если да, то в какую сторону копать? Backend на node.js
@ScorpLeX у меня магазин. Клиент (html, css и клиентский js) лежат на одном хостинге. Серверная часть и БД на другом. Запросы на бакенд уходят прямо с клиентской страницы. С учетом того что подделать можно все как я могу быть уверен, что запросы на бакенд приходят именно с "правильного" сервера? То есть понятно что я могу создать некую подпись (токен) при авторизации юзера, но до нее сначала нужно отправить запрос на эту авторизацию. Объединить я их не могу (по ряду причин), но текущий подход ставит безопасность под сомнение.
Не знал. Спасибо. Тогда получается в заголовке должен приходить IP не только клиента, но сервера с которого был сделан запрос. Верно? И если да, то ведь и его тогда можно подделать наверное.
У меня модули со сложными запросами к БД обернуты в файберы. Вот хочу понаблюдать как это скажется на производительности. Ну и вообще хотелось бы знать на каких запросах мой сервис показывает не самые лучшие результаты. До этого я использовал nodefly он сам отбирал и показывал самые медленные запросы к БД и HTTP
Спасибо за совет. В процессе изучения node я не раз сталкивался с проблемой асинхронной парадигмы. Насколько я понял node гибок настолько насколько сам JavaScript. И хотя это открывает широкий спектр возможностей, но с другой стороны таит множество подводных камней и к разработке с использованием этого фреймворка нужно подходить с осторожностью не имея достаточного опыта.
