и есть ли хорошо если я выставляю в отдельных случаях “слать/не слать” токен?

Что значит на валидность?

ну может он истек

и я по нему не могу получать данные

А клиент тут при чем?

дык я этот токен во втором запросе шлю и тот отвечает 401

Сервер должен вернуть 401 или другую ошибку если токена нет

Или он истек

он и отвечает

Ну вот, после того как ответил и делай логику которую хотел делать если токен не валиден

я этот токен отправляю с каждым запросом, это ок или не ок? Если да, то мне сервер отвечает 401 на то, что можно получить без токена

я этот токен отправляю с каждым запросом, это ок или не ок? Если да, то мне сервер отвечает 401 на то, что можно получить без токена

смотря как отправлять в каком заголовке

/items?token = объекты конкретно для юзера /items = просто список объектов /items?invalidToken = 401 еррор

токен, конечно же, не шлется в гет параметре))

По моему у тебя какой-то оверхед с токеном

По моему у тебя какой-то оверхед с токеном

:)))) больше токенов!

Ты не должен парсить куки из жса, более того куки должны быть httponly

?

Для банального кейса с авторизацией

Вместо этого твой аякс должен быть с включенными кредешненами

для полного фарша и чувства сухости надо Bearer token в Authorized, jwt token в каком нить заголовке, в урле продублировать и с куками еще один

Ты не должен парсить куки из жса, более того куки должны быть httponly

я не парсю, userActions.get().catch(error => { cookie.remove(config.tokenCookieName); }); эта фигня делает запрос на /api/profiles/me и если еррор, то стирает куки

при чем один куки будет бакенд выставлять другую куку фронт :)

? блин)

Твой cookie это уже распарсенный куки ?

яясно, значит гомно сделал))

если мне после логина сервер отправляет токен вне кукисов, где мне его хранить?

яясно, значит гомно сделал))

ну куки как минимум должны шифроваться на бакенде и не читаться в браузере

В таком случае в сторе, но у тебя должна быть причина отправлять его вне кук

Есть бест практикс, выдумывать уже давно ничего не нужно)

понял)

если мне после логина сервер отправляет токен вне кукисов, где мне его хранить?

bearer token поищи

хмм значит бэк должен в куках присылать, ок, допустим, он присылает что происходит если у меня авторизация через Authorization: Token blablabla?

чувствую себя идиотом ))

ты шлешь на сервер логин и пароль, в ответ получаешь токен

сохраняешь его в локал сторадж

пихаешь в заголовок Autorization: Bearer {token}

при каждом запросе на сервер

и получаешь удовольствие

хехе не-а))

если вместо куков юзать локал сторейдж (что я и делал до этого), в целом проблема остается

при входе на сайт выполняются 2 запроса

/api/profiles/me /api/items

и вот во втором я получаю еррор не дожидаясь первого

если токен не валидный

ну это зависит от схемы авторизации на вашем бакенде

бэк в случае неверного токена отдает 401

как мне сделать так, чтобы все остальные запросы ждали тот, который получит данные юзера тем самым проверив токен, а потом уже остальное, так как первый если получает ошибку, то тупо затирает и в след. запросах токена не будет

/items?token = объекты конкретно для юзера /items = просто список объектов /items?invalidToken = 401 еррор

1 и 2 - ок, 3 мне нужно избежать

как мне сделать так, чтобы все остальные запросы ждали тот, который получит данные юзера тем самым проверив токен, а потом уже остальное, так как первый если получает ошибку, то тупо затирает и в след. запросах токена не будет

Не рендерить компонент с items, пока не получишь юзера? Не рендеришь компонент - не идет запрос на items. Не так разве?

как мне сделать так, чтобы все остальные запросы ждали тот, который получит данные юзера тем самым проверив токен, а потом уже остальное, так как первый если получает ошибку, то тупо затирает и в след. запросах токена не будет

я не знаю как ты делаешь запрос, но это 100% promis, поэтому дождись через .then или await его выполнения

userActions.get() .catch(error => { cookie.remove(config.tokenCookieName); }) .then(response => { ReactDOM.render(...) }); ???

мне казалось это дикий костыль)

ёпрст

ты даже не представляешь себе насколько :))))

а форма логина юзера то где?

если че, я это даже не пробовал юзать )))

а то подумают совсем делетант ))

а форма логина юзера то где?

сек

сек

просто в твоем примере, если сервер тебя с токеном жестко обламал, то ты даже окошко логина не покажешь юзеру

там немного разбито все,  process(response) { cookie.save(config.tokenCookieName, response.body.token, { path: '/' }); modalActions.close(modalActions.types.LOGIN); } вот это выполняется после того, как успешно все закончилось

не совсем понял если честно

ты се1йчас код бакенда показываешь что ли?

вся проблема при входе на сайт)

ERROR: S client not available

ты се1йчас код бакенда показываешь что ли?

? не) это выполняется в promise в then

а в catch он обрабатывает ошибки и записывает в стейт нужные данные, думаю, это не интересно

чета я сам запутался… и так, еще раз )) проблема: 1) юзер заходит на сайт 2) у юзера в куках/localStorage хранится истекший токен 3) выполняется асинхронный запрос на /api/profiles/me 4) выполняется асинхронный запрос на /api/items 5) к этому времени обрабатываю респонс от /api/profiles/me и стираю токен из хранилища 6) получаю 401 ошибку от /api/items нужно сделать так, чтобы в 4 шаге не отправлялся токен, а 5 шаг переместился на место 4.

мне кажется, чтобы люди не писали такой код, надо запрещать программистам работать в дни когда магнитные бури сверепствуют :))

мне кажется, чтобы люди не писали такой код, надо запрещать программистам работать в дни когда магнитные бури сверепствуют :))

? сорян ))

ты должен первым делом определиться что может видеть неавторизованный юзер

если не должен видеть ничего кроме окна логина, то это все упрощает

/api/items может выполняться как с токеном, так и без, при этом получать разный контент, но с инвалидным токеном он отдает 401 анонимный юзер может видеть половину всго сайта)

вот у меня в приложениях гость ничего не может поэтому до выяснения того кто он гость или реальный пацан я кручу сплэш скрин для него в этот момент веб разбирается с бакендом что там с токеном

вот у меня в приложениях гость ничего не может поэтому до выяснения того кто он гость или реальный пацан я кручу сплэш скрин для него в этот момент веб разбирается с бакендом что там с токеном

ну здесь вообще изич)

/api/items может выполняться как с токеном, так и без, при этом получать разный контент, но с инвалидным токеном он отдает 401 анонимный юзер может видеть половину всго сайта)

ну и заебись сделай body { height 50%, overflow: hidden } :))))

а у меня есть список товаров, которые видит анонимный юзер и авторизованный...

ну и заебись сделай body { height 50%, overflow: hidden } :))))

что лол )))

?

я все видел

не поможет )))

чета я сам запутался… и так, еще раз )) проблема: 1) юзер заходит на сайт 2) у юзера в куках/localStorage хранится истекший токен 3) выполняется асинхронный запрос на /api/profiles/me 4) выполняется асинхронный запрос на /api/items 5) к этому времени обрабатываю респонс от /api/profiles/me и стираю токен из хранилища 6) получаю 401 ошибку от /api/items нужно сделать так, чтобы в 4 шаге не отправлялся токен, а 5 шаг переместился на место 4.

сначала обработай токен, потом в промисе вызывай ReactDom.render

сначала обработай токен, потом в промисе вызывай ReactDom.render

а не это ли я скидывал немного ранее с подписью “дикий костыль”?)))

поэтому к моменту запуска твоего приложения ты уже будешь знать про токен все

а не это ли я скидывал немного ранее с подписью “дикий костыль”?)))

а ты не слышал? веб состоит из костылей на 87.45%

а ты не слышал? веб состоит из костылей на 87.45%

дык значит это ок? )))

ну можешь по-другому

userActions.get() .catch(error => { cookie.remove(config.tokenCookieName); }) .then(response => { ReactDOM.render(...) }); ?

дык значит это ок? )))

нет конечно это не окей

так делают студенты первокурсники

можешь положить переменную "токен проверен" в свой любимый стейт менеджер, потом в аппе сделать запрос, который потом поменяет эту переменную, а пока не поменяли — прелоудер

так делают студенты первокурсники

Каждый из нас немного первокурсник ?

можешь положить переменную "токен проверен" в свой любимый стейт менеджер, потом в аппе сделать запрос, который потом поменяет эту переменную, а пока не поменяли — прелоудер

это уже теплее :))

userActions.get() .catch(error => { cookie.remove(config.tokenCookieName); }) .then(response => { ReactDOM.render(...) }); ?

((((((

?

это уже теплее :))

если ты говоришь теплее, значит, знаешь способ лучше