Autoryzacja w React vs fake data base

Question

Dostałem do zrobienia projekt. Sklep internetowy w React. Z racji tego, że uczę się frontendu dostałem "gotowy" backend (a przynajmniej tak mi się wydawało), w postaci fakowej bazy danych (link). Dostałem również dane do tej bazy. 

Poniżej mam todosy do wykonania.
- Password should be kept securely in case our database is compromised.
- The passwords we provide you in our current database should be encrypted and then stored in the DB.
- New users will always have role user (only current admin can have this role)
- After registration, and logging in they have access to the "Shop" page, "Cart" page and "Orders" page.

Ten backend to nie jest backend tylko baza danych. Czy mając Reacta i tą bazę mogę wykonać powyższe zadania?

Tzn czy mogę szyfrować hasła i zapisywać je w bazie danych? I później również z poziomu Reacta logować się i wyświetlać wartość strony warunkowaną tym czy użytkownik to user czy admin?

Z góry dzięki!

Answer 1

Tzn czy mogę szyfrować hasła i zapisywać je w bazie danych?

Nie, takie operacji robi back-end i koniec kropka. Ty z frontu tylko wysyłasz dane, mogą sobie byc jakos zaszyfrowane itp. to nie ma znaczenia tutaj, ostateczne szyfrowanie i zapis zawsze ale to zawsze robi back-end. Jeśli dają Ci API to musisz mieć endpoint to zapisu usera, jeśli go nie ma to ja bym napisał wprost, że taka operacja musi być robiona w API i client-side to nie miejsce na takie rzeczy.

I później również z poziomu Reacta logować się i wyświetlać wartość strony warunkowaną tym czy użytkownik to user czy admin?

To już jak najbardziej właśnie zabawa client-side. Możesz zrobić sobie warunki na froncie decydujące o tym, jaki content wyświetlić. Natomiast info o tym czy to user zwykły czy admin musi być z back-endu, ja preferuję np. jakąs flagę przy danych usera. Natomiast tak czy inaczej nawet jeśli masz w response flagę admin to i tak każdy strzał jako admin musi być zabezpieczony w API wcześniejszym sprawdzeniem, czy na pewno jesteś kontem admina.

 

Co do tego dostępu jako zalogowany to najprościej to chyba zrobić po normalnemu, czyli zrobić odpowiednie guardy na routingu.

Comments

Dzięki, za mega szybką odpowiedź!

Co byś polecił w takim wypadku? Napisać sobie jakiś prosty backend w Node.js?

Albo Firebase od googla? Czytam właśnie, że tam też jest autoryzacja.

---

po pierwsze to jasno napisz gdzie w komentarzu czydo cos, ze takie zapisy do bazy i szyfrowanie to sprawa api, aby widzieli, że wiesz co i jak.

i teraz pytanie, w sumie jesli napiszesz, że klient może być ryzykowny itp. to ten firebase moze być, napisz, że uzywasz go w celach pokazania, że umiesz pracować z API itp. takie coś jak dlachcesz mnie bylobyto spoko.

api wTwoja nodzie tez może być tylko w sumie ten firebase może nawet lepiej pokze, ze umiesz szukać różnych rozwiązań i czytac dojumentacje takich narzedzi... wg mnie lepszy firebase jak na zadanie pewnie rekrutacyjbe?

---

Zrobię tak jak piszesz :)

Tak na zadanie rekrutacyjne.

 

Dzięki wielkie raz jeszcze.

---

pamietaj, że w takich zadaniach mniej chodzi o sam kod, a bardziej o umiejętność podejscia do problemu :) i czasami niektore zadania są troche podchwytliwe