EO
Security плачет в углу
Size: a a a
2021 March 18
EO
Хотя, ничего нового)
Вт
А че плачет, кука же httponly
Вт
Или ты о том что пхп торчит наружу?
EO
Или ты о том что пхп торчит наружу?
Я об идее «всё давать на клиент, а там разберёмся»
EO
Я об идее «всё давать на клиент, а там разберёмся»
Развитие таких идей обычно заканчиваются неконтролируемым сливом того, чего не хотелось бы
DK
Вот и мне показалось что запиливать в один клиент весь код это не очень красиво.
DK
Везде все пишут мол разделяйте фронтент и бекенд. Но никто не говорит как их потом собрать в кучу на локальной тачке / реальной
Вт
Я об идее «всё давать на клиент, а там разберёмся»
у них и так спа
EO
Вот и мне показалось что запиливать в один клиент весь код это не очень красиво.
Есть клиент, делает запрос на сервер с токеном. Сервер по этому токену достаёт юзера. У юзера есть права и роли. Сервер идёт в базу и смотрит что может этот пользователь. Если можно отвечать - отвечает.
Это классическая RBAC модель. Разумеется, такой код нужно явно писать что мол isUserPermitted(action), в тех местах, где нужно закрыться
Это классическая RBAC модель. Разумеется, такой код нужно явно писать что мол isUserPermitted(action), в тех местах, где нужно закрыться
EO
Есть клиент, делает запрос на сервер с токеном. Сервер по этому токену достаёт юзера. У юзера есть права и роли. Сервер идёт в базу и смотрит что может этот пользователь. Если можно отвечать - отвечает.
Это классическая RBAC модель. Разумеется, такой код нужно явно писать что мол isUserPermitted(action), в тех местах, где нужно закрыться
Это классическая RBAC модель. Разумеется, такой код нужно явно писать что мол isUserPermitted(action), в тех местах, где нужно закрыться
Это самая распространённая модель авторизации и довольно классическая. К ней уже можно прикручивать модель владения информацией (давать только ту информацию, которой владеет пользователь)
Вт
Везде все пишут мол разделяйте фронтент и бекенд. Но никто не говорит как их потом собрать в кучу на локальной тачке / реальной
фронтенд (index.html) хостится на сервере статики (експресс или даже sirv) и дергает ваш laravel по ajax, а на стороне laravel уже решаешь какие ендпоинтьі експозить а какие нет — ето стандартная схема
можно обьединить что б пхп статику отдавал, в любом случае надо настроить laravel не делать переадрессацию, а общаться по REST. Нет авторизации дергать /some-secret-data-endpoint ? возвращай 401
можно обьединить что б пхп статику отдавал, в любом случае надо настроить laravel не делать переадрессацию, а общаться по REST. Нет авторизации дергать /some-secret-data-endpoint ? возвращай 401
Вт
Это самая распространённая модель авторизации и довольно классическая. К ней уже можно прикручивать модель владения информацией (давать только ту информацию, которой владеет пользователь)
+1 и большинство фреймворков поддерживают ето с коробки, надо просто где-то настройку переключить
f
а есть что-то такое чтоб чуть живее экспресса и менее ущербное чем нест?
tinyhttp 😅
DK
фронтенд (index.html) хостится на сервере статики (експресс или даже sirv) и дергает ваш laravel по ajax, а на стороне laravel уже решаешь какие ендпоинтьі експозить а какие нет — ето стандартная схема
можно обьединить что б пхп статику отдавал, в любом случае надо настроить laravel не делать переадрессацию, а общаться по REST. Нет авторизации дергать /some-secret-data-endpoint ? возвращай 401
можно обьединить что б пхп статику отдавал, в любом случае надо настроить laravel не делать переадрессацию, а общаться по REST. Нет авторизации дергать /some-secret-data-endpoint ? возвращай 401
ох блин, сколько тут мудрости
DK
спасибо) вроде понял наконец-то
Вт
спасибо) вроде понял наконец-то
👌
EO
+1 и большинство фреймворков поддерживают ето с коробки, надо просто где-то настройку переключить
Кнопки «сделай мне RBAC» нету :)
Вт
Кнопки «сделай мне RBAC» нету :)
не скажу за всю одессу, но например django умеет из коробки в роли
AL
а есть что-то такое чтоб чуть живее экспресса и менее ущербное чем нест?
Чувачки хвалят Молекулер. Хз как оно там на самом деле