я вот и спрашиваю ведь, есть ли необходимость его писать в Реакте?)
Есть, если у тебя подразумевается какой-то асинхронный экшн
Victor
Victor
Т.е, например,ты ждёшь сначала когда одно действие выполнится и только потом ты делаешь другое.
Victor
Это если совсем просто :)
Mihail
アレクサンダー・バキマトフ
kek
Anonymous
Рофл
Zhanadil
Синхронность - это когда одновременно
ты наверное не правильно выразился) Браузер все загружает в одном потоке)
Andrei
хуй поспоришь
Mihail
Я в ахуенезе
Zhanadil
все очередно загружается сверху вниз это и есть синхронность
アレクサンダー・バキマトフ
:D:D:D
アレクサンダー・バキマトフ
кто про что)))
アレクサンダー・バキマトフ
все смешалось в кучу - люди, кони...))
Zhanadil
а асинхронно, это когда условно первая задача задерживается в колбэке, а остальное выполняется и после из колбека задача выполнится
Victor
Ну я имел ввиду, что ты ждёшь завершения одного действия, перед тем как делать другое :)
Zhanadil
ну да ладно, я получил ответ. Пойду юзать и пробовать в Реакте. Лучший ответ будет на практике)
Victor
Удачи :)
Vadym
Привет. Ребят, как правильно проверить залогинен ли пользователь? Если да (есть токен в локалсторедж) то чтобы оставался на стравице дашборда, если нет - делать редирект на логин пейдж.
вот мой код: https://gist.github.com/frontvin/c627ad04465467146072b1a743c615c4
Подскажите пожалуйста, что надо исправить в Login.tsx
Mihail
Vadym
https://habr.com/ru/post/349164/
я то понимаю что локал сторедж не нужно использовать.
Но в данном случае - мне нужно реализовать и его использованием
Vadym
я просто не могу понять, что я делаю не так для проверки залогинен ли юзер
Vladimir
Вадим, не слушайте его. Использовать локалстор для хранения токена - правильное и нормальное решение. Статью писал весьма сомнительный и странный персонаж
Mihail
Looch
Лол
Looch
localStorage просто самое секурное решение
Looch
Про http only куки видимо не знают челики
Vadym
Вадим, не слушайте его. Использовать локалстор для хранения токена - правильное и нормальное решение. Статью писал весьма сомнительный и странный персонаж
ну так проблема не в этом. у меня токен сохранается в локалсторедж, когда юзер вводит правильные логин, почту и пароль. у меня не получается проверять залогинен ли пользователь.
Vladimir
Если хацкер получил доступ к js - то до жопы ваши httpOnly, вы слишком переоцениваете их
Dmitry
localStorage просто самое секурное решение
Ну спиздишь ты токен и че? На садоводе его продашь?
Looch
Андрей
Looch
В ещё кучу сенсетив юзер инфы
Mihail
Список срачей на сегодня:
✅ Redux vs Effector
✅ Храним токены в ls
✅ Передавать this в дочерний компонент
✅ Вставить текст..
Mihail
Если хацкер получил доступ к js - то до жопы ваши httpOnly, вы слишком переоцениваете их
Название httpOnly ни о чем конечно же не говорит
Sergey
Sm•ok
Sergey
Если хацкер получил доступ к js - то до жопы ваши httpOnly, вы слишком переоцениваете их
Жс не может прочитать их
Vladimir
Если я получил доступ к js пользователя - то все, мне до жопы все остальное. Я могу перехватить сессию
Есть простой способ захватить сессию, несмотря на HTTPOnly флаг. Все еще можете ездить на сессии, не зная идентификатора сессии.
Читаем:
https://en.wikipedia.org/wiki/Samy_(computer_worm)
Он использовал XHR для чтения токена CSRF и затем выполнения авторизованной задачи.
Таким образом, злоумышленник может сделать почти все, что может сделать зарегистрированный пользователь.
Прочитать и получить вашу сенстив инфу, и т.д.
Vadym
ребят так так проверить залогинен ли нет пользователь? а то у меня получается что токен я записал в локалсторедж при успешном логине юзера, а вот при перезагрузке у меня получается редирект на логин пейдж. и приходится заново вводить данные
Sergey
Если я получил доступ к js пользователя - то все, мне до жопы все остальное. Я могу перехватить сессию
Есть простой способ захватить сессию, несмотря на HTTPOnly флаг. Все еще можете ездить на сессии, не зная идентификатора сессии.
Читаем:
https://en.wikipedia.org/wiki/Samy_(computer_worm)
Он использовал XHR для чтения токена CSRF и затем выполнения авторизованной задачи.
Таким образом, злоумышленник может сделать почти все, что может сделать зарегистрированный пользователь.
Прочитать и получить вашу сенстив инфу, и т.д.
Ты наверное про политики безопасности браузера никогда не слышал
Sergey
Если я получил доступ к js пользователя - то все, мне до жопы все остальное. Я могу перехватить сессию
Есть простой способ захватить сессию, несмотря на HTTPOnly флаг. Все еще можете ездить на сессии, не зная идентификатора сессии.
Читаем:
https://en.wikipedia.org/wiki/Samy_(computer_worm)
Он использовал XHR для чтения токена CSRF и затем выполнения авторизованной задачи.
Таким образом, злоумышленник может сделать почти все, что может сделать зарегистрированный пользователь.
Прочитать и получить вашу сенстив инфу, и т.д.
Если скрипт попал на страницу с другого домена, то ничего он не может. А вот читать LS может
Vladimir
Если на то пошло, то ставить скрипты с других сайтов, это супер безопасно прям, зато переживать а том что токен в лс положил
Sergey
ребят так так проверить залогинен ли нет пользователь? а то у меня получается что токен я записал в локалсторедж при успешном логине юзера, а вот при перезагрузке у меня получается редирект на логин пейдж. и приходится заново вводить данные
Положи токен в куку и при старте приложения либо сервер узнает о существовании сессии, либо сам делай первый запрос на получение информации о сессии
Sm•ok
Если на то пошло, то ставить скрипты с других сайтов, это супер безопасно прям, зато переживать а том что токен в лс положил
А что сделает скрипт с другого сайта?
Vadym
Sm•ok
Ну кроме как может сломать весь твой фронт)
Sergey
Если на то пошло, то ставить скрипты с других сайтов, это супер безопасно прям, зато переживать а том что токен в лс положил
Относительно безопасно, если настроил политики.
Но токен нельзя держать в LS
Sm•ok
Украсть данные он тоже не сможет
Vladimir
>А что сделает скрипт с другого сайта?
Хз, взломали сднку твою и подменили редирект на фишинг
Sm•ok
>А что сделает скрипт с другого сайта?
Хз, взломали сднку твою и подменили редирект на фишинг
Ну речь шла о краже данных напрямую с твоего сайта
Sm•ok
Да и сомнительные скрипты умный человек не поставит.
Vladimir
Я лишь про то, что если хакер получил доступ к js конечного пользователя, то он данные украсть сможет в любом случаи любые
Sergey
>А что сделает скрипт с другого сайта?
Хз, взломали сднку твою и подменили редирект на фишинг
Это очень заметно и нормальные хакеры этого не сделают.
Обычно крадут данные и токены чтобы как можно незаметнее украсть
Sergey
Я лишь про то, что если хакер получил доступ к js конечного пользователя, то он данные украсть сможет в любом случаи любые
Данные которые лежат в замыкании не украдёт
Sergey
Никак
Sm•ok
Что-то вспомнил "сегодня ровно 6 лет соц сети одноклассники. Авторизуйся и получи 500ок"
Sm•ok
А там копипастный сайт, где пашет любая комбинация пароля
Mihail
😂
Vadym
Делать запрос каждый раз. Сервер никак не узнает об LS
ну у меня есть функция loadState которая возвращает данные записанные в сторедж.
по сути если у меня юзер залогинился у стейт записыватся данные: токен, success: true. мне надо проверять одинаковые ли токены в сторадже и стейте? если да, то редирект не делать
Sergey
А если токен устарел?
Sergey
Всегда делать запрос на сервер с этим токеном
Vadym
а как? можешь чекнуть мой код? а то я запутался
Илья | 😶☮️🐸
ловишь 401 и рефрешишь токен, если, конечно же, в реакте есть интерцепторы :D
Vadym
нет
Sergey
ловишь 401 и рефрешишь токен, если, конечно же, в реакте есть интерцепторы :D
Реакт тут не причем
Илья | 😶☮️🐸
забыл шо из коробки нет удобных утилит