Это безопасный способ? Redux React Аутентификация
Я разрабатываю страницу администратора с функцией входа в систему с использованием Node.js, react и Redux.
Для входа я использовал jwt. У меня вопрос, безопасно ли это использовать? Потому что я установил Provider с магазином вокруг моего приложения. И внутри я проверяю, если user.isauthenticated(), то adminpage Else loginpage.
Что меня беспокоит, так это магазин. Это один и тот же магазин на странице входа и на странице администратора. Итак, у меня есть доступ со страницы входа в магазин, который подключен к странице администратора.
Разве не было бы безопаснее иметь два отдельных магазина?
static isUserAuthenticated () {return localStorage.getItem ('token')! == null; }. Моя функция на стороне клиента Чтобы проверить, аутентифицирован ли пользователь. мой Сервер отправляет токен, если вход в систему был успешным.
Таким образом, они могут получить доступ к админке на клиенте. Им по-прежнему нужно обращаться к API на сервере. Эти конечные точки должны проверять, что они могут получить доступ к этим данным. Проверяйте все на сервере ..... основное эмпирическое правило с любым приложением.
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
На передней панели нет ничего «безопасного». Настоящий вопрос заключается в том, как вы обрабатываете аутентификацию / авторизацию в своем бэкэнде. JWT, безусловно, является безопасным методом аутентификации, но имейте в виду, что полезная нагрузка может быть декодирована кем угодно, поэтому любая информация, хранящаяся в JWT, видна всем, кто имеет доступ к токену.
Соображение безопасности заключается в следующем: может ли пользователь пройти аутентификацию с помощью вашей внешней службы, а затем использовать этот токен для доступа к информации из вашей серверной части, которая им каким-либо образом не принадлежит? Если вы правильно построили серверную часть, то ваши внешние магазины не смогут утечь какую-либо информацию, потому что они не смогут получить какую-либо информацию, на просмотр / редактирование которой пользователь еще не был авторизован.
Один сценарий, о котором следует помнить при обеспечении безопасности внешнего интерфейса: Пользователь входит в систему, и ваши личные данные хранятся в вашем клиентском приложении (будь то redux / localstorage / и т. д.). Когда этот пользователь выходит из системы, если эти данные остаются в магазине, может ли другой пользователь войти в систему, а затем как-то их просмотреть? Надеюсь, что нет. Ваши методы выхода должны удалять все конфиденциальные данные из этого внешнего приложения, чтобы у любого будущего пользователя не было к нему доступа.
Надеюсь, это поможет. Возможно, я не обращался напрямую к redux, но это потому, что безопасность - это в первую очередь проблема серверной части. Не следует полагаться на Redux для обеспечения безопасности данных, если только он не удаляет данные навсегда из областей, к которым неавторизованные пользователи могут получить доступ позже.
Я предполагаю, что вы подтверждаете пользователя на сервере со всеми вызовами?