Bir Flux (özellikle Redux) mağazasında bir kimlik doğrulama çağrısıyla döndürülen bir API jetonu saklamak güvenli midir? Webpack'i, projedeki tüm varlıkları derlemek için kullandım. Bu, mağazanın okuyucuyu okumak ve belirteci çıkarmak isteyen üçüncü taraf komut dosyalarından erişilemediği anlamına geliyor. Ne olursa olsun, jeton bir Authorization: bearer ... başlığında HTTPS üzerinden gönderilen için API tokens bir Flux (Redux) mağazasında güvenli midir?
, o zaman sayfanın tüm bütünlüğü bozulduğu olarak hiçbir şey güvenli olduğunu varsayalım gerekir.
yalnızca güvenilir komut çalışıyorsa, o zaman belirteci güvenlidir varsayabiliriz, tarayıcının güvenlik ve nasıl güvenceye sitenizin XSS saldırılarına karşı olduğu tabi.
DÜZENLEME:
netleştirmek için, bu 3. parti komut dosyalarından güvenliğidir. Simgeni kullanıcıdan gizlemeye çalışıyorsanız, o zaman cevap, kullanıcının makineye erişimi olduğu sürece kodunuzu ne kadar güldürüyorsanız olun, her zaman güvensiz olacaktır, en sonunda kullanıcı buna erişebilir. (bunu daha da zorlaştırabilirsiniz, ama imkansız değil).
@Carson Buna ek olarak, JS'de depolanan hiçbir şeyin güvenli olduğu varsayılmamalıdır. Çünkü, sayfanıza erişimi olan herhangi bir betik teoride, senaryona/kapsama erişebilir. Trevor ile aynı fikirdeyim; Bu gerçekten, sayfanızda çalışan komut dosyalarına ne kadar güvendiğinizi gösterir. –
Kesinlikle hayır. En azından, API anahtarınızın herkes tarafından görüntülenmesinin uygun olmadığı sürece. Herhangi bir zamanda istemcideki JS'deki verilere herkes erişebilir (örneğin: chrome dev tools). –
Bunu okuyun; http://stackoverflow.com/questions/20963273/spa-best-practices-for-authentication-and-session-management –