miladk313
5 سال پیش توسط miladk313 مطرح شد
5 پاسخ

نمایش توکن ارسال شده به همراه درخواست های axios در api ها

سلام دوستان
من یه وب اپلیکیشن با vuejs دارم مینویسم که که api اش رو با laravel passport پیاده سازی کردم.
سوالی که برام بوجود اومده اینه که با هر ریکوئستی که ارسال میکنم همونطوری که میدونین داخل header تابع axios توکن رو ارسال میکنم و درخواست هم داخل network نشون داده میشه و هرکسی میتونه توکن رو ببینه .
از لحاظ امنیتی این مشکل ساز نمیشه ؟ ینی یه نفر از این توکن به راحتی میتونه استفاده کنه و درخواست بفرسته .
راه حلی دارین در این مورد ؟

Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImp0aSI6IjY1ZjM5YjcxMGVlMzNlM2ViNzE4NWY4M2QyYTFlZjNkYzM1Y2Q2ZWMwZWZhY2M0YzQzZWMwMTAwM2RmMDc2MTliMTczMmQyZmZkOGQwZGZiIn0.eyJhdWQiOiIzIiwianRpIjoiNjVmMzliNzEwZWUzM2UzZWI3MTg1ZjgzZDJhMWVmM2RjMzVjZDZlYzBlZmFjYzRjNDNlYzAxMDAzZGYwNzYxOWIxNzMyZDJmZmQ4ZDBkZmIiLCJpYXQiOjE1NjY3NDY1MTIsIm5iZiI6MTU2Njc0NjUxMiwiZXhwIjoxNTk4MzY4OTEyLCJzdWIiOiIxIiwic2NvcGVzIjpbXX0.CUmYiEnbH6cDCzZqMzPgogbNVTfWKeCtsDO_yK0UgvGKdcbONtuweMLe6x-jXjL77XXF3pU5lSkdO5FzJIXRgte6wwtgAf9BPrm6aozUnDvh8sLOiQ2dtSjd0cfT-HwjIXFsQT4E5EsLpb6jZx8qfrN1mzOLjGTzc8yDBRLwQh-FiMjUBYVCXVVwIdaqVzs5h224dltUUKHrlXz2yFyvUPp5yo6n3uElKJRn0eYZvQ1qjmQA9nNSMUmn0hPz8MvA7m8luaxqq933z5bc-SDew6lHAWCJN1NYp9fhc3R_ByOelEOcnagvQ6_prRkyh2YOWNcckKPesQ8BNwOUzKyPAR4IQKVS-1dEhz3p6PmLXfNlb0CPHQgWvpte_n93Ht5ZYp3XL9X75epXFgInq2lDLyCWFUivQa3enSjSXp1EgfFEvXpQlrBHzQs3OfUCrF0bL7STMuinYSiXJNwuB-lS-Qh0w_1AAwNjc9YhK80gt72x2OzWsW00eoaH7LN9fsHNPR5lQpSFRfPYthnkXp7F82NP3IAfkLZnz9S4tmKANkCtrSpk3oprXJO4YMekihr1ShpbipuyqcJSGqhZnrpM1t_V4hshMRs3_pIS1ni5Yonh0x1yD-Rs3h4t66IMfl0ECBx8eCGOlags9Fjt12AgdWw1nrWyFCUZAMHTBhhB5uk
Content-Type: application/json
Referer: http://localhost/teacher/allClass
Sec-Fetch-Mode: cors
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.100 Safari/537.36

@Alimotreb
@ali.bayat
@hesammousavi
@milad
@khanzadimahdi
@ali.farmani
@elyasbeshkani
@masoudproton
@mojimich2015
@dfardabasi


ثبت پرسش جدید
علی بیات
تخصص : توسعه دهنده ارشد وب
@ali.bayat 5 سال پیش مطرح شد
1

این توکنی که نمایش داده میشه در واقع برای همون‌ کاربری هست که به سیستم لاگین کرده.. این که توکن کاربر رو از خودش مخفی کنیم، خیلی منطقی نیست..

اما می‌تونید سیستم رو به گونه‌ای طراحی کنید که توکن‌های قدیمی رو expire کنه و دیگه قابل استفاده نباشند.


میلاد-م
تخصص : توسعه‌دهنده رابط کاربری - Fron...
@milad 5 سال پیش مطرح شد
1

@miladk313
سلام، بنده درین زمینه دانشی ندارم.
موفق باشید


mahdi khanzadi
تخصص : backend developer at Snapp mar...
@khanzadimahdi 5 سال پیش مطرح شد
1

تمامی درخواست ها بین کلاینت رو سرور رو با الگوریتم AES رمزگذاری کنید. همچنین کلید اشتراکی برای رمز نگاری رو هم هر دفعه که توکن تولید میشه به صورت دوره ای یکبار جایگزین کنید.


علی بیات
تخصص : توسعه دهنده ارشد وب
@ali.bayat 5 سال پیش مطرح شد
1

این توکنی که نمایش داده میشه در واقع برای همون‌ کاربری هست که به سیستم لاگین کرده.. این که توکن کاربر رو از خودش مخفی کنیم، خیلی منطقی نیست..

اما می‌تونید سیستم رو به گونه‌ای طراحی کنید که توکن‌های قدیمی رو expire کنه و دیگه قابل استفاده نباشند.


miladk313
تخصص : برنامه نویس لاراول
@miladk313 5 سال پیش مطرح شد
0

ممنون از پاسختون خیلی لطف کردین
@ali.bayat


علی بیات
تخصص : توسعه دهنده ارشد وب
@ali.bayat 5 سال پیش مطرح شد
1

@milad
خواهش می‌کنم
موفق باشید


برای ارسال پاسخ لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام