سلام دوستان
من یه وب اپلیکیشن با vuejs دارم مینویسم که که api اش رو با laravel passport پیاده سازی کردم.
سوالی که برام بوجود اومده اینه که با هر ریکوئستی که ارسال میکنم همونطوری که میدونین داخل header تابع axios توکن رو ارسال میکنم و درخواست هم داخل network نشون داده میشه و هرکسی میتونه توکن رو ببینه .
از لحاظ امنیتی این مشکل ساز نمیشه ؟ ینی یه نفر از این توکن به راحتی میتونه استفاده کنه و درخواست بفرسته .
راه حلی دارین در این مورد ؟
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImp0aSI6IjY1ZjM5YjcxMGVlMzNlM2ViNzE4NWY4M2QyYTFlZjNkYzM1Y2Q2ZWMwZWZhY2M0YzQzZWMwMTAwM2RmMDc2MTliMTczMmQyZmZkOGQwZGZiIn0.eyJhdWQiOiIzIiwianRpIjoiNjVmMzliNzEwZWUzM2UzZWI3MTg1ZjgzZDJhMWVmM2RjMzVjZDZlYzBlZmFjYzRjNDNlYzAxMDAzZGYwNzYxOWIxNzMyZDJmZmQ4ZDBkZmIiLCJpYXQiOjE1NjY3NDY1MTIsIm5iZiI6MTU2Njc0NjUxMiwiZXhwIjoxNTk4MzY4OTEyLCJzdWIiOiIxIiwic2NvcGVzIjpbXX0.CUmYiEnbH6cDCzZqMzPgogbNVTfWKeCtsDO_yK0UgvGKdcbONtuweMLe6x-jXjL77XXF3pU5lSkdO5FzJIXRgte6wwtgAf9BPrm6aozUnDvh8sLOiQ2dtSjd0cfT-HwjIXFsQT4E5EsLpb6jZx8qfrN1mzOLjGTzc8yDBRLwQh-FiMjUBYVCXVVwIdaqVzs5h224dltUUKHrlXz2yFyvUPp5yo6n3uElKJRn0eYZvQ1qjmQA9nNSMUmn0hPz8MvA7m8luaxqq933z5bc-SDew6lHAWCJN1NYp9fhc3R_ByOelEOcnagvQ6_prRkyh2YOWNcckKPesQ8BNwOUzKyPAR4IQKVS-1dEhz3p6PmLXfNlb0CPHQgWvpte_n93Ht5ZYp3XL9X75epXFgInq2lDLyCWFUivQa3enSjSXp1EgfFEvXpQlrBHzQs3OfUCrF0bL7STMuinYSiXJNwuB-lS-Qh0w_1AAwNjc9YhK80gt72x2OzWsW00eoaH7LN9fsHNPR5lQpSFRfPYthnkXp7F82NP3IAfkLZnz9S4tmKANkCtrSpk3oprXJO4YMekihr1ShpbipuyqcJSGqhZnrpM1t_V4hshMRs3_pIS1ni5Yonh0x1yD-Rs3h4t66IMfl0ECBx8eCGOlags9Fjt12AgdWw1nrWyFCUZAMHTBhhB5uk
Content-Type: application/json
Referer: http://localhost/teacher/allClass
Sec-Fetch-Mode: cors
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36
@Alimotreb
@ali.bayat
@hesammousavi
@milad
@khanzadimahdi
@ali.farmani
@elyasbeshkani
@masoudproton
@mojimich2015
@dfardabasi
این توکنی که نمایش داده میشه در واقع برای همون کاربری هست که به سیستم لاگین کرده.. این که توکن کاربر رو از خودش مخفی کنیم، خیلی منطقی نیست..
اما میتونید سیستم رو به گونهای طراحی کنید که توکنهای قدیمی رو expire کنه و دیگه قابل استفاده نباشند.
تمامی درخواست ها بین کلاینت رو سرور رو با الگوریتم AES رمزگذاری کنید. همچنین کلید اشتراکی برای رمز نگاری رو هم هر دفعه که توکن تولید میشه به صورت دوره ای یکبار جایگزین کنید.
این توکنی که نمایش داده میشه در واقع برای همون کاربری هست که به سیستم لاگین کرده.. این که توکن کاربر رو از خودش مخفی کنیم، خیلی منطقی نیست..
اما میتونید سیستم رو به گونهای طراحی کنید که توکنهای قدیمی رو expire کنه و دیگه قابل استفاده نباشند.
آیا مایل به ارسال نوتیفیکیشن و اخبار از طرف راکت هستید ؟