Я создаю логин пользователя с нуля на Next. js на внешнем интерфейсе. Как в настоящее время работает аутентификация:
- На странице входа в систему отправляется запрос на конечную точку API входа с адресом электронной почты / паролем для проверки
- Если он проверяется, он отвечает объектом JSON, который включает данные токена JWT и токен refre sh (в виде httponly cook ie)
- На внешнем интерфейсе токен JWT сохраняется в состоянии приложения
Когда я нахожусь на закрытой странице, которая должна быть доступна только при входе пользователя в систему, она проверяет, существует ли токен. Это работает, но я понимаю, что пользователю было бы легко обновить это состояние вручную с помощью JS, что означает, что он получит доступ к закрытой странице.
Мой вопрос таков: какова лучшая практика в этом сценарии?