D
Либо ip внутри локалки, потом алиас
Size: a a a
2020 April 11
D
И будет работать, без artisan serve
Ф
Приветствую!
Подскажите... Есть личный кабинет, закрытый обычной auth:web миддлварой
Безопасно ли из кабинета слать ajax-запросы, когда проверятся только X-XSRF-TOKEN (вроде)?
Подскажите... Есть личный кабинет, закрытый обычной auth:web миддлварой
Безопасно ли из кабинета слать ajax-запросы, когда проверятся только X-XSRF-TOKEN (вроде)?
Ф
Не до конца разобрался, как ларавел проверяет ajax-запрос, боюсь, что запрос может быть подделан
А
Не до конца разобрался, как ларавел проверяет ajax-запрос, боюсь, что запрос может быть подделан
Возьми постман и попробуй подделать)
А
Получится - отпишешь, какую молитву ты читал в этот момент
Ф
Возьми постман и попробуй подделать)
Сделал "левый" запрос на этот адрес через постман и получил ответ 419 Page Expired, ожидая увидет 401 need auth.
Это нормально?
Так и не смог понять, проверяет ли аутентификацию пользователя
Это нормально?
Так и не смог понять, проверяет ли аутентификацию пользователя
Ф
думаю, что просто токен проверяет раньше, чем юзера, но хочется точно убедиться
А
Аякс шлёт запрос, аутх мидлваря тебя проверяет по сессии, апи мидлваря - по токену. ХСРФ - защита от спама
А
Нужно полностью безопастно - делай какую-то апишность
А
Но это все неточно)
А
По честному - тебе нужна другая мидлваря auth:api
А
Ну или своя кастомная
VY
Ну я пишу типо : php artisan serve
если работает опенсервер, тебе не надо php artisan serve
Д
Я понял, спасибо ❤️
Ф
По честному - тебе нужна другая мидлваря auth:api
auth:api уже задействовано с laravel passport + bearer token, но используется для отдельного приложения (spa).
Хотел также заюзать этот же API и из кабинета с сайта, но не осилил, как токен синхронизировать с сессией, чтобы не попасть в просак, когда сессия действительна и вход в кабинет есть, а вот запросы из кабинета не проходят, так как токен протух, например
Хотел также заюзать этот же API и из кабинета с сайта, но не осилил, как токен синхронизировать с сессией, чтобы не попасть в просак, когда сессия действительна и вход в кабинет есть, а вот запросы из кабинета не проходят, так как токен протух, например
VY
auth:api уже задействовано с laravel passport + bearer token, но используется для отдельного приложения (spa).
Хотел также заюзать этот же API и из кабинета с сайта, но не осилил, как токен синхронизировать с сессией, чтобы не попасть в просак, когда сессия действительна и вход в кабинет есть, а вот запросы из кабинета не проходят, так как токен протух, например
Хотел также заюзать этот же API и из кабинета с сайта, но не осилил, как токен синхронизировать с сессией, чтобы не попасть в просак, когда сессия действительна и вход в кабинет есть, а вот запросы из кабинета не проходят, так как токен протух, например
ну так, лучше про это больше почитать, чем строить "велосипед"...
Ф
ну так, лучше про это больше почитать, чем строить "велосипед"...
я как раз и хочу без велосипедов, потому не очень хочется делать какие-то сложные конструкции, а отдать все на откуп ларовским миддлварам и не париться.
Ф
Ну и, как бы, всё работает, вопрос-то был "безопасно ли?"
VY
auth:api уже задействовано с laravel passport + bearer token, но используется для отдельного приложения (spa).
Хотел также заюзать этот же API и из кабинета с сайта, но не осилил, как токен синхронизировать с сессией, чтобы не попасть в просак, когда сессия действительна и вход в кабинет есть, а вот запросы из кабинета не проходят, так как токен протух, например
Хотел также заюзать этот же API и из кабинета с сайта, но не осилил, как токен синхронизировать с сессией, чтобы не попасть в просак, когда сессия действительна и вход в кабинет есть, а вот запросы из кабинета не проходят, так как токен протух, например
"...чтобы не попасть в просак, когда сессия действительна и вход в кабинет есть, а вот запросы из кабинета не проходят, так как токен протух, например..."
если протух токен - обновляй его
если протух токен - обновляй его