• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Logowanie w SPA z wykorzystaniem Laravel Passport

Aruba Cloud - Virtual Private Server VPS
0 głosów
765 wizyt
pytanie zadane 18 września 2019 w PHP przez Maikel11 Początkujący (470 p.)
Cześć, szukam wskazówek i rad na temat logowania usera do API przy pomocy tokenu. Logowanie mam już zrobione i obsłużone po stronie serwera i frontu ale nie do końca mam pewność czy robię to dobrze. Teraz po zalogowaniu i otrzymaniu tokenu z API w Vue zapisuje token do store i localstorage. Gdy user odświeży stronę sprawdzam czy istnieje token w localstorage i jeśli tak to sprawdzam czy jest on poprawny i zapisuję w store. Jeśli jednak tokenu nie ma w localstorage, przekierowuję usera do strony logowania. I tutaj moje pytanie, aktualnie działa to tak, że userowi w takim przypadku zostaje przypisany nowy token i w bazie dany user ma teraz dwa tokeny dostępu, oba prawidłowe. Czy powinno to działać w taki sposób? Szukałem w docs Passporta ale nie znalazłem informacji na ten temat (chyba, że ją ominąłem),  znalazłem tylko metodę tokens() dostępną z poziomu modelu User, która zwraca wszystkie tokeny. Czy powinienem skonstruować metodę do logowania w taki sposób aby w przypadku, gdy user posiada już jeden aktywny token nie przydzielał się mu kolejny ? Jak działają takie systemy logowania? Czy tokenów może być niezliczona ilość? I jak wygląda logowanie na wielu urządzeniach w tym samym czasie?

1 odpowiedź

0 głosów
odpowiedź 18 września 2019 przez Ehlert Ekspert (214,940 p.)
Dla takiej aplikacji dobrze byłoby gdybyś zrobił api stateless. To znaczy back-end nie trzyma żadnych informacji o tym kto jest zalogowany i czy jego sesja jest aktualna. Wszystko to można zawrzeć w tokenie JWT.
komentarz 20 września 2019 przez JakSky Stary wyjadacz (14,770 p.)
edycja 20 września 2019 przez JakSky
Ja tam wolę bezpieczne i sprawdzone rozwiązania. Jak chcesz to korzystaj :D

Poza tym w aplikacjach typu SPA często najlepszym rozwiązaniem jest utworzenie stałego połączenia np. za pomocą biblioteki SignalR i uwierzytelnienie tylko przy nawiązywaniu połączenia, więc JWT nie ma sensu używać.
komentarz 20 września 2019 przez Ehlert Ekspert (214,940 p.)

Pewnie. Pół świata ma SPA + REST API JWT, ale co tam. Niebezpieczne. Ja wiem lepiej nie? wink

komentarz 20 września 2019 przez JakSky Stary wyjadacz (14,770 p.)
Myślę, że z JWT jest podobnie jak z jQuery czy AngularemJS. Dużo ludzi idzie w to bo jest modne i tyle a nie, że uważa za praktyczne czy wygodne.
komentarz 20 września 2019 przez Ehlert Ekspert (214,940 p.)

Porównujesz JWT będące standardem do jQuery/Angulara które de facto są libkami/frameworkami. Jednocześnie sam wyjeżdżasz z jakąś .NETową libką sugerując, że dla spa rozwiązania stałopołączeniowe są najlepsze. Piszesz to ogólnie nie podając żadnego kontekstu czy przypadku biznesowego w którym warto byłoby tego użyć. 

Analogia do "moje zabawki są lepsze".

komentarz 21 września 2019 przez JakSky Stary wyjadacz (14,770 p.)
Niczego nie porównuję. Mam na myśli trendy w IT czy to jakiś język, biblioteka czy standard to nie ma znaczenia. I tak jest zapewne też z JWT, wykorzystują bo jest modne. Pomijam już fakt, że często wykorzystują go źle. Taki JWT to dobre rozwiązanie jak mamy np. robota w fabryce(ma ciągle te same Id, te same role i w dodatku działa w jakieś lokalnej sieci) i bezstanowość JWT nie będzie problemem. Co innego aplikacje webowe gdzie mamy duży ruch i dobrze byłoby mieć większą kontrolę kto i gdzie jest zalogowany - w takim przypadku bezstanowość tylko to utrudnia.

Podobne pytania

0 głosów
1 odpowiedź 511 wizyt
pytanie zadane 30 czerwca 2018 w JavaScript przez mi-20 Stary wyjadacz (13,250 p.)
0 głosów
1 odpowiedź 799 wizyt
pytanie zadane 8 lipca 2018 w JavaScript przez mi-20 Stary wyjadacz (13,250 p.)
0 głosów
0 odpowiedzi 220 wizyt
pytanie zadane 1 lipca 2018 w JavaScript przez mi-20 Stary wyjadacz (13,250 p.)

93,333 zapytań

142,326 odpowiedzi

322,405 komentarzy

62,669 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 1 Wprowadzenie do ITsec, tom 2

Można już zamawiać dwa tomy książek o ITsec pt. "Wprowadzenie do bezpieczeństwa IT" - mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy aż 15% zniżki! Dziękujemy ekipie Sekuraka za fajny rabat dla naszej Społeczności!

...