Salutare,
In următoarea perioadă am in plan sa lucrez la un MVP pentru un SaaS care să înlăture nevoia de backend pentru site urile mici. Problema este că nu sunt familiarizat cu următorul aspect și mi ar prinde bine niște sfaturi:
Cum indentific un request de pe front end și îl atribui unui utilizator fara că credentialele lui sa fie vizibile în cod sau in request-urile efectuate?
Cauta alte Headless CMS-uri si vezi cum rezolva ele problema.
Solutia clasica este ca datele de autentificare sa fie trimise intre utilizator si platforma pentru a genera un token iar apoi sunt retrimise doar cand este nevoie ca tokenul sa fie refreshed. Nu ai de ce sa iti faci griji daca datele de autentificare sunt vizibile in request daca folosesti https.
Da inteleg, dar datele de autentificare vor fi puse in codul front-end. Pe acestea as vrea sa le ascund si sa nu fie vizibile.
1 Like
Tot ce pui in frontend este vizibil.
Da asta asa este. In final voi merge cu criptare asimetrica si la alegere inca un layer si anume voi seta header-ul Access-Control-Allow-Origin doar pentru domeniul dorit.
Mersi pentru ajutor.
De ce nu auth pe bază de token?
Trimiți user+pass când faci auth, serverul trimite înapoi un token, toate celelalte request-uri le faci cu acei token.
Pentru că nu există user. User ul este site ul sau aplicația web(codul front end)
Poate ca Mos Craciun nu exista, dar userul da.
4 Likes