cs
или пересохранять придется
Size: a a a
2020 April 22
ИЛ
чтоб отсечь атаку по солёному словарю
МЛ
Drupa 8 REST.
Добавил свой ресур плагин, дал доступ только для авторизованного пользователя.
Начинаю делать запрос, но мне говорит что токен не верный
Хотя я его получил из
Если дать доступ всем (и анонимам), то все норм, но мне так не нужно.
Есть второй способ получить токен, через логин и пароль, и он работает, но тоже не подходит, так как я не могу хранить в JS все логины и пароли всех юзеров.
Неужели нет другого способа? И почему не работает токен из
Кто-то в курсе?
Как-то быстро не гуглится, все что я находил, это ответы с тем, что нужно получать токен через 2 этих способа 😕
Добавил свой ресур плагин, дал доступ только для авторизованного пользователя.
Начинаю делать запрос, но мне говорит что токен не верный
X-CSRF-Token request header is invalidХотя я его получил из
/session/token, в это время я был авторизован как админ.Если дать доступ всем (и анонимам), то все норм, но мне так не нужно.
Есть второй способ получить токен, через логин и пароль, и он работает, но тоже не подходит, так как я не могу хранить в JS все логины и пароли всех юзеров.
Неужели нет другого способа? И почему не работает токен из
/session/token?Кто-то в курсе?
Как-то быстро не гуглится, все что я находил, это ответы с тем, что нужно получать токен через 2 этих способа 😕
МЛ
В документации тоже пишится только про 2 способа.
Но это же бред получать токен из скрипта по логину и паролю, разве нет?
Или я что-то не понимаю?
Но это же бред получать токен из скрипта по логину и паролю, разве нет?
Или я что-то не понимаю?
АК
Конечно бред
АК
Поэтому нужно делать авторизацию по jwt-токенам, например, через simple_oauth
АК
И цеплять эти токены к запросу
АК
Либо по логину и паролю получать сессионные куки и прикреплять куки к запросу
МЛ
Алексей Кузнецов
Поэтому нужно делать авторизацию по jwt-токенам, например, через simple_oauth
ага...
кажется понял, сейчас попробую. Спасибо
кажется понял, сейчас попробую. Спасибо
АК
через куки конечно проще, но там есть неприятные нюансы
АК
Когда кука истекает, а фронт не знает об этом
ВС
Всем привет! Внезапно увидел, что в доступных токенах для конкретного типа материалов (но такое ощущение, что во всех) отображается какой-то жалкий огрызок того списка токенов, что доступен в admin/help/token. Drupal 8
Что-то где-то надо подопнуть, чтобы поехало?
Что-то где-то надо подопнуть, чтобы поехало?
МЛ
Алексей Кузнецов
Поэтому нужно делать авторизацию по jwt-токенам, например, через simple_oauth
погоди а в таком случае разве не нужно будет все равно авторизовываться по логину и паролю?
А то я вот нашел статью, и там все равно логин и пароль в запросе присутствуют https://medium.com/@nikolay.r.borisov/drupal-8-simple-oauth-and-simple-rest-d2d90fa28334
А то я вот нашел статью, и там все равно логин и пароль в запросе присутствуют https://medium.com/@nikolay.r.borisov/drupal-8-simple-oauth-and-simple-rest-d2d90fa28334
АК
Ну один раз да, надо конечно
АК
Один разз воодишь логин и пароль и получаешь токены
МЛ
Алексей Кузнецов
Один разз воодишь логин и пароль и получаешь токены
А если у меня куча пользователей, и регаются они автоматически?
Откуда мне знать их логины и пароли?
Но даже если буду знать, то они опять будут в запросе светиться, как-то не секьюрно.
Откуда мне знать их логины и пароли?
Но даже если буду знать, то они опять будут в запросе светиться, как-то не секьюрно.
АК
Зачем тебе выполнять какие-то действия от имени других пользователей?
АК
Пусть пользователь сам вводит свой логин и пароль при авторизации
МЛ
Алексей Кузнецов
Зачем тебе выполнять какие-то действия от имени других пользователей?
Например у меня есть реакт, который выполняет некоторые действия от имени текущего пользователя, то есть я уже авторизован на сайте, хожу по страницам и тут пользователь выполняет какие-то действия, которые следом идут через запрос к REST.
А там мне важно знать, кто конкретно это сделал.
Не буду же я опять его просить ввести свои данные.
А там мне важно знать, кто конкретно это сделал.
Не буду же я опять его просить ввести свои данные.
АК
То есть у тебя одновременно реакт и не реакт?