אני רוצה לבנות SPA שהוא סוג של dashboard, העניין הוא שזה צריך להיות מאובטח.
לגבי עמוד login אין פה שאלה על הביצוע, טופס פשוט עם POST לשרת. בתוך הdashboard נתקלתי בבעיה מחשבתית, הרי כל הנתונים מגיעים מאחורי הקלעים דרך API שהfront-end מתשאל (חשבתי לאבטח בעזרת token), ככה שכל הבקשות הן כביכול "שקופות" - אם מישהו מבחוץ משיג את הtoken הוא יכול לעשות מה שהוא רוצה.
זה לא קצת מסוכן? אולי אני מפספס פה משהו?
תודה!
אפשרויות ניהול
VeNom
14.02.1915:30
1. זה לא מסוכן כי בד''כבתגובה להודעה מספר 0
השרת מוריד TOKEN שהוא בוחר וחותם או מצפין אותו (JWT הוא אחד מהשיטות המובילות כיום). אפשר בהחלט לעלות את רמת האיבטוח של הטוקן בזה שאתה תייצר מעל הטוקן עוד שכבה של לוגיקה אם אתה באמת מרגיש לא בטוח או לחילופין, לחפש מנגנון הצפנה\חתימה שיותר קשים לפריצה.
CaTz
25.02.1909:17
2. דרך פשוטה לפתור את זהבתגובה להודעה מספר 1
היא להוסיף לjwt את הip של היוזר.
יהיה הרבה יותר קשה לזייף את הip, ואי אפשר לשנות אותו בתוך הטוקן מבלי לחתום אותו מחדש.
אותו דבר, במקום ip, אתה יכול לשמור hash, של ua + ip.
ואז לבדוק האם הua +ip של היוזר שווים להאש ששמור.
ככה, אם אני אגנוב לך את הטוקן, אין לך מה לעשות איתו.
Mr Andersson
25.02.1911:56
3. כן זה מה שעשיתי בסוף, תודה!בתגובה להודעה מספר 2
אשכול 22300