AP
помоему вы сами не знаете что хотите
Size: a a a
2021 February 26
AP
базворды какие-то только кидаете
E
Я? Я ничего не хочу. Говорю, что у меня на одном проекте jwt с токеном и рефреш токеном. Бек сделал, безопасники одобрили, работаем.
Макс заявляет, что не тру и надо иначе. Что бы что-то в безопасном хранилище хранилось. Вот и я прошу поделиться безопасным решением для спа )
Макс заявляет, что не тру и надо иначе. Что бы что-то в безопасном хранилище хранилось. Вот и я прошу поделиться безопасным решением для спа )
AP
от какого вектора атаки надо защититься?
E
Не больше, но и не меньше
E
Дак видимо от кражи
YK
помоему вы сами не знаете что хотите
я заметил вы по делу никогда не говорите, чисто агритесь)
М
Все это гавно, лучше сертификаты в браузер :))
AP
jwt не в куках плох только тем что его можно прочитать и спереть на другой комп и тем что надо доп запрос на его получение делать
E
Все это гавно, лучше сертификаты в браузер :))
О, дак они есть.
E
Без них не пустят. Еще все за vpn
E
jwt не в куках плох только тем что его можно прочитать и спереть на другой комп и тем что надо доп запрос на его получение делать
А еще он жирный, сука и его пришлось в локальное отправлять
AP
прочитать его можно 2мя способами, у вас XSS - тогда у вас полная жопа и ничего вам не поможет. Или к юзеру пришел "друг" открыл консоль и записал на бумажку токен.
E
Тем паче, но решения безопасного мне не попадалось. Не делать же хранение токена в памяти, при открытии другой вкладки получать доступ к уже открытй, а если все закрыл, то все, перелогинься
AP
из памяти его точно так же уведут этими же 2мя способами. От них нет никакой защиты =)
E
Вот блин, а я хотел уже переписывать все. Тянуть логакс или что еще для связи вкладок. Пилить обфускатор по времени, что бы прочитать из куки секрет и по нему найти переменную в которой токен
AP
авторизация на куках хорошая тем что не нужно делать доп запрос, куку можно передать вместе с самым первым запросом хтмла. Куке можно дать время жизни, и обновлять его с любым последующим запросом
AP
какой логакс для связки вкладок? чтобы передавать сообщения между вкладками достаточно BroadcastChannel или локалстораджа и window.addEventListener('storage', handleMessageFromOtherTab)
E
Сторадж не безопасен!
E
Ладно, шуткую я.