MD
Size: a a a
2020 October 05
v
Max Dubovsky
прочитал вот это: https://habr.com/ru/post/318748/
Ну вот - Synchronizer Tokens
Сессия есть, токен есть, поддержка октябрём (ларавелем) тоже есть.
Сессия есть, токен есть, поддержка октябрём (ларавелем) тоже есть.
v
Double Submit Cookie тоже подходит. Сессионную куку и токен получать с сервера.
Но в целом, не очень вариант из-за того, что jwt как бы api guard и сессия для него вообще не должна генерироваться.
Но в целом, не очень вариант из-за того, что jwt как бы api guard и сессия для него вообще не должна генерироваться.
MD
v
Max Dubovsky
Ну вот. Значит можешь и csrf_token() запросить с сервера
MD
Я правильно понимаю что в куки устанавливаеться одноразовый токен ?
v
В принципе если сделаешь полноценное апи, то можно от csrf отказаться.
v
Если будешь юзать аякс октября, то всё-таки csrf лучше бы поддержать
v
Max Dubovsky
Я правильно понимаю что в куки устанавливаеться одноразовый токен ?
Не совсем. При работе с сессиями, токен устанавливается в сессии. И сверяется с запросами.
v
При подходе с куками, да, токен передается в куке и куками же его отдаёшь обратно на сервер.
MD
всмысле полноценное API ? С POST, DELETE методами ?
MD
насколько я понял auth токен у nuxt будет работать даже если удалить куку (до рефреша страницы)
v
Max Dubovsky
всмысле полноценное API ? С POST, DELETE методами ?
С POST, DELETE, тротлингом и json ответами.
v
Max Dubovsky
насколько я понял auth токен у nuxt будет работать даже если удалить куку (до рефреша страницы)
Должен.
MD
С POST, DELETE, тротлингом и json ответами.
А там что то сложное ?
Был какой то плагин на тему давно + обещалось что моделям сразу routes биндить можно будет. Я планировал что то такое использовать
Был какой то плагин на тему давно + обещалось что моделям сразу routes биндить можно будет. Я планировал что то такое использовать
v
Max Dubovsky
А там что то сложное ?
Был какой то плагин на тему давно + обещалось что моделям сразу routes биндить можно будет. Я планировал что то такое использовать
Был какой то плагин на тему давно + обещалось что моделям сразу routes биндить можно будет. Я планировал что то такое использовать
Да нет, да и тротлинг из коробки есть.
MD
я наверное еще novice в этой теме, а что такое троллинг ?
MD
тротлинг , всмысле
v
Max Dubovsky
тротлинг , всмысле
Ограничение на кол-во запросов за период.
Например не больше 60 запросов с 1 ip в минуту.
Делается как возможностями ларавель, так и гниксом, f2b и т п. Самое простое повесить throttle middleware на группу api запросов.
Например не больше 60 запросов с 1 ip в минуту.
Делается как возможностями ларавель, так и гниксом, f2b и т п. Самое простое повесить throttle middleware на группу api запросов.