Как лучше реализовать авторизацию на фронте?

Здравствуйте! Имеется api на питоне.
Человек отправляет свой логин и пасс, апи отдает jwt-токен с "живучестью" 2 недели. Дальше этот токен используется для доступа к другим методам апи.

На этом апи работает ПУ. Подскажите, пожалуйста, как лучше реализовать авторизацию в ПУ. Если я все верно понимаю, то тут только куки. Форма ввода логин-пасс -> получили токен -> пишем токен и другие данные в куки. Но это ведь крайне неправильный подход, верно?

ПУ пашет на js. Без php или еще чего-то серверного.

Прошу прощения, если вопрос банальный. Банальный, но вызывает дикие опасения. Может имеются какие-то сторонние сервисы, куда можно отдать это дело? Дикий ламер в этом, простите.
  • Вопрос задан
  • 259 просмотров
Решения вопроса 1
angrySCV
@angrySCV
machine learning, programming, startuping
у тебя задача передать токен на сервер -> это можно сделать через использования куки, но так не делают. ТК куки тырят, куки не универсальны и привязанны к определенному браузеру (куки не могут использовать приложения), и куча других проблем, особенно связанных с масштабированием.
Можно еще передавать токен вместе с каждым запросом в теле самого запроса ( пример: хттпс://адрес.ру/запрос?токен=токен)
но тогда токен будет сохраняться в истории браузера, и это тоже может привести к некоторым проблемам с безопасностью (например если ты перешел по ссылке, и человек на другом сервисе видет вместе со ссылкой источника перехода токен пользователя, это будет гиганский фэил)
вобщем наиболее подходящий способ -> передавать токен в каждом запросе вместе с хэдером, (тоесть передавать дополнительные параметры этого запроса минуя адресную строку)
почитай подробнее про http headers например https://www.tutorialspoint.com/http/http_header_fi...
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы