Защита запросов аутентификации API с помощью React & NextJS

Question

Я создаю веб-приложение React / NextJS, которое использует один API-интерфейс Drupal без интерфейса и другой API-интерфейс NodeJS.

Для выполнения запросов к API-интерфейсу NodeJS требуется токен аутентификации, который создается при передаче двух уникальных пользователей.значения и одно постоянное значение (меняется для каждого потребителя, но я собираю только одного такого постоянного для меня потребителя) для соответствующей конечной точки и возвращает токен доступа и обновления.

Каков наилучший способ безопасного обращения с этим?Простое выполнение запросов от клиента сделает все это видимым в инструментах разработки, и NextJS не сможет выполнить некоторые запросы при загрузке страницы.

Answer 1

Если у вас есть доступ к бэкэнду:

Не обрабатывайте токены аутентификации на внешнем интерфейсе. Используйте бэкэнд для установки файла cookie с параметрами httpOnly (это отключает доступ со стороны javascript) и используйте более новый someOrigin (только его поддерживает новейший браузер) для предотвращения CSRF.

Для хорошего знакомства с этой темой вы должны прочитать следующую статью: https://medium.com/@jcbaey/authentication-in-spa-reactjs-and-vuejs-the-right-way-e4a9ac5cd9a3