Реакт к авторизации вообще никакого отношения не имеет)

Вполне может быть, я новичок) Если в моем вопросе заменить react на redux, он будет иметь больше смысла?

Вполне может быть, я новичок) Если в моем вопросе заменить react на redux, он будет иметь больше смысла?

Не особо) redux - это библиотека, которая отвечает за сохранение состояния. По сути тебе нужна либа, которая умеет работать с api твоих систем. Если тебе надо авторизовываться с сервера, то это уже к фронту не имеет никакого отношения.

Не особо) redux - это библиотека, которая отвечает за сохранение состояния. По сути тебе нужна либа, которая умеет работать с api твоих систем. Если тебе надо авторизовываться с сервера, то это уже к фронту не имеет никакого отношения.

Учитывая что апи ещё нет, я пытаюсь понять, как оно должно выглядеть и есть ли общепринятые его реализации

Просто делаешь поля для авторизации, когда пользователь их заполнить, отсылаешь данные на бэк, в ответ получаешь токен или ошибку, потом записываешь токен в куках, и при каждом запросе к бэку за данными, достаешь из Кук токен и вставляешь его в заголовок authorization

Просто делаешь поля для авторизации, когда пользователь их заполнить, отсылаешь данные на бэк, в ответ получаешь токен или ошибку, потом записываешь токен в куках, и при каждом запросе к бэку за данными, достаешь из Кук токен и вставляешь его в заголовок authorization

omg. Зачем в куках? Для этого уже давно есть localstorage

В куки и сам бэк записать может )

А потом и проверять

Да хоть в редаксе!

Какая разница

Куки гоняются на сервер при каждом запросе. Не нужно туда писать.

Куки гоняются на сервер при каждом запросе. Не нужно туда писать.

Ну так, для токена как раз удобно в spa

Какая разница

Большая разница. Редакс сохраняет текущую сессию. Куки гоняются на сервер всё время. Ну выбирайте инструменты правильно.

В заголовоке authorization токен нужно проверять, а не в куках

Ну так, для токена как раз удобно в spa

А зачем гонять токен к ресурсам, которые не требуют аутентификации?

В заголовоке authorization токен нужно проверять, а не в куках

Зачем тогда записывать в куки токен?

Зачем тогда записывать в куки токен?

Что при последующих заходах его от туда доставать

А зачем гонять токен к ресурсам, которые не требуют аутентификации?

Ну это уже от индивидуального случая зависит

Просто делаешь поля для авторизации, когда пользователь их заполнить, отсылаешь данные на бэк, в ответ получаешь токен или ошибку, потом записываешь токен в куках, и при каждом запросе к бэку за данными, достаешь из Кук токен и вставляешь его в заголовок authorization

моя цель - минимизировать объем велосипедов, по возможности

Что при последующих заходах его от туда доставать

Куки с каждым запросом летают на сервер

моя цель - минимизировать объем велосипедов, по возможности

Тогда отсылай хеш в заголовке authorization

Что при последующих заходах его от туда доставать

Не надо ерундой заниматься и делать то, что не требуется )

Меньше кода напишешь, меньше огребешь потом

Не надо ерундой заниматься и делать то, что не требуется )

А что нужно?

Тогда отсылай хеш в заголовке authorization

Какой хеш?

Какой хеш?

Токен) ошибся

Токен) ошибся

Дык его надо удобно получить сначала. Вот человек и спрашивает как это делать.

Дык его надо удобно получить сначала. Вот человек и спрашивает как это делать.

Я написал уже

А что нужно?

Если ты строишь авторизацию через токен в куках, то тебе достаточно ответа от сервера, что все ок при авторизации и можешь работать дальше. На сервере твой токен выставят и проверят на каждом запросе.

Просто делаешь поля для авторизации, когда пользователь их заполнить, отсылаешь данные на бэк, в ответ получаешь токен или ошибку, потом записываешь токен в куках, и при каждом запросе к бэку за данными, достаешь из Кук токен и вставляешь его в заголовок authorization

Я так понял - это не кто не прочел

ну и коректно ошибки обрабатывать, если токен протухнет

Я так понял - это не кто не прочел

Я прочём, но триггернулся на то, что токен в куках хранить надо)

А это прочел?

Да хоть в редаксе!

Какая разница

Учитывая что апи ещё нет, я пытаюсь понять, как оно должно выглядеть и есть ли общепринятые его реализации

https://tproger.ru/translations/backend-web-development/

окей, просто куки самое дурацкое место хранить это дело )

окей, просто куки самое дурацкое место хранить это дело )

Самое безопасное

Из стораджа угнать токен может любой скрипт, хоть из cdn

https://tproger.ru/translations/backend-web-development/

спасибо

ок

Самое безопасное

+1, а ещё интересно как он из local storage при первом заходе будет токен вытаскивать.

+1, а ещё интересно как он из local storage при первом заходе будет токен вытаскивать.

+++

Если у вас сайт подвержен xss атакам угон токена обычно далеко не первая из ваших проблем..

+1, а ещё интересно как он из local storage при первом заходе будет токен вытаскивать.

А в чем проблема доставать токен из local storage?

А в чем проблема доставать токен из local storage?

На первом входе?

Ну то есть если ты залогинен и закрыл вкладку

А потом по урлу напрямую входишь

Можно, конечно, написать скрипт, который при загрузке будет отправлять http-request на сервер, но зачем

/me

/me

/me

Ахах) что это?)

/me

Цепная реакция сейчас пойдет)

У кого то прочитал, и нажал на нее

вот вот)

Это вирус

ребятки,что посоветуете по реакту изучать и какой ide?

просто пока симпотично выглядит http://reactide.io/

но она не в доступе

deco только для native

а nuclide не очень удобен

+ проблем с кастомизацией много

/me

На первом входе?

Я все еще не вижу проблемы

Достаем, валидируем на сервере, перенаправляем куда надо

ERROR: S client not available

Это ж стандартный подход

а nuclide не очень удобен

а что с ним не так, кстати?

а что с ним не так, кстати?

некоторые пакейджы и темы не отображаются нормально

единственное что мне удобно в нем

это nuclide-server

Я все еще не вижу проблемы

Если токен в кукисах, то по самому первому запросу на урл сервер сразу увидит токен и отправит в ответ нужную для авторизованных страницу Т.е. для залогиненых будет сразу загружаться нужная страница А если надо скриптом доставать и отправлять на сервер, то сначала загружается обычная страница, а потом нужная И по UX - время перед первым появлением страницы для пользователя отличается в разы

ставишь на сервак,и спокойно едитишь всё и видишь изменения

Если токен в кукисах, то по самому первому запросу на урл сервер сразу увидит токен и отправит в ответ нужную для авторизованных страницу Т.е. для залогиненых будет сразу загружаться нужная страница А если надо скриптом доставать и отправлять на сервер, то сначала загружается обычная страница, а потом нужная И по UX - время перед первым появлением страницы для пользователя отличается в разы

Если пользователь получает доступ к закрытой части приложения - показываем лоадер пока не пройдет проверка. Это 100мс обычно или даже меньше. У большинства сайтов стартовые анимации дольше занимают

кстати,ребятки какой аналог req.session в реакте?

кстати,ребятки какой аналог req.session в реакте?

Никакого. Реакт тут не причем

Если пользователь получает доступ к закрытой части приложения - показываем лоадер пока не пройдет проверка. Это 100мс обычно или даже меньше. У большинства сайтов стартовые анимации дольше занимают

Первоначальная загрузка страницы и скрипта, плюс время пока долетит реквест и ответ(пинг), плюс отрисовка

Никакого. Реакт тут не причем

оставить req.session так же на ноде?

Первоначальная загрузка страницы и скрипта, плюс время пока долетит реквест и ответ(пинг), плюс отрисовка

Первоначальная загрузка в любом случае есть, 100мс - оверхед на проверку

просто req.session обрабатывается на роутах ноды у меня.У меня изначально не SPA аппка была,переношу на реакте.А за роуты в реакте отвечает реактроутер,или каждый раз делать запрос на ноду и потом .fetch() ?

Первоначальная загрузка в любом случае есть, 100мс - оверхед на проверку

Ну такое, зависит от качества связи у пользователя

Пинг в 50мс - вполне нормальный

просто req.session обрабатывается на роутах ноды у меня.У меня изначально не SPA аппка была,переношу на реакте.А за роуты в реакте отвечает реактроутер,или каждый раз делать запрос на ноду и потом .fetch() ?

Так как сделаешь так и будет.. Реакт это ж простая библиотека и все. Если у тебя отвечает реакт роутер - то реакт роутер.

Ну такое, зависит от качества связи у пользователя

Ну я усредненно

Ну я усредненно

В любом случае, и для безопасности, и для UX, будет лучше хранить токен в кукисах

Ну такое, зависит от качества связи у пользователя

Тем более если у тебя jwt - то можешь их как куки использовать. Запрашиваешь сразу нужные данные, если фейл - редирект на логин

Тем более если у тебя jwt - то можешь их как куки использовать. Запрашиваешь сразу нужные данные, если фейл - редирект на логин

? В смысле как куки?

? В смысле как куки?

Всмысле без предварительной валидации

Всмысле без предварительной валидации

jwt же тоже выдается сервером, и его надо где-то хранить на клиенте Честно говоря, не очень понимаю о чем ты)

В любом случае, и для безопасности, и для UX, будет лучше хранить токен в кукисах

Ну. Для безопасности - куки подвержены csfr и нужно от него дополнительно защищаться. И от xss куки не защищают полностью, только чуть усложняют жизнь

jwt же тоже выдается сервером, и его надо где-то хранить на клиенте Честно говоря, не очень понимаю о чем ты)

Так он хранится в локал сторадж. При первом входе - если есть токен - шлешь его на сервер с запросом нужным и все.

Так он хранится в локал сторадж. При первом входе - если есть токен - шлешь его на сервер с запросом нужным и все.

Ну мы же это выше обсуждали

Ну мы же это выше обсуждали

Я передумал, можно не валидировать ничего)

есть такая задача

при билде, нужно подставлять нужный адрес апи сервера

в файле

как это сделать?

Чем билдишь?