Mechanizm sesji i Single Page Application

pytanie zadane 24 marca 2021 w JavaScript przez Jakub 0 Pasjonat (23,120 p.)
zamknięte 24 marca 2021 przez Jakub 0

Witam, po jakimś czasie nauki umiem już zaimplementować na serwerze autoryzacje z użyciem JWT oraz mechanizm sesji (używam express-session + Redis).

Używanie dla SPA tokenu przesyłanego jako response od serwera było dość proste. W zależności od obecności takiego tokenu wewnątrz globalnego stanu aplikacji, reaktywnie zmieniał się renderowany UI. Dodatkowo token był zapisywany w local storage.

Niby dla sesji jest wszystko podobnie, mamy token w postaci ciasteczka. Zastanawiam się jednak nad tym w jaki sposób najlepiej zmieniać stan aplikacji frontendowej w zależności od tego czy jesteśmy zalogowani. Było by to oczywiste gdyby nie httpOnly cookie. Klient nie może sprawdzić obecności takiego ciasteczka.

Przeglądając internet i myśląc nad tym samemu, wpadłem na następujące rozwiązania:

Dodatkowy równoległy plik cookie bez właściwości httpOnly.
Endpoint API do sprawdzenia czy użytkownik jest zalogowany (wywoływany za każdym razem po załadowaniu/odświeżeniu aplikacji).
Rezygnacja z właściwości httpOnly.

Najbardziej stabilny i bezpieczny wydaje mi się pogrubiony przeze mnie sposób. Tak planuje to zrobić, zwłaszcza, że zadziała to zarówno dla zwykłej aplikacji SPA czy też czegoś w rodzaju Universal JS App (Nuxt, Next itd..).

Mimo wszystko nie szkodzi mi zapytać o zdanie doświadczone osoby. Czy to jest najlepszy sposób czy może da się to zrobić do lepiej?

Dziękuje za wskazówki i pozdrawiam serdecznie :)

komentarz zamknięcia: Temat wyczerpany

1 odpowiedź

odpowiedź 24 marca 2021 przez Comandeer Guru (602,340 p.)
wybrane 24 marca 2021 przez Jakub 0

Najlepsza

Jeśli user kliknie przycisk "Wyloguj", to będziesz wiedział, że jest wylogowany, jeśli się zaloguje – że jest zalogowany. W innym wypadku serwer przy dowolnym requeście powinien przecież sprawdzić, czy user jest zalogowany i jeśli nie, zwrócić odpowiedni kod błędu. Dzięki temu jesteś w stanie na froncie wykryć, czy user jest zalogowany bez potrzeby posiadania dodatkowego endpointa.

komentarz 24 marca 2021 przez Jakub 0 Pasjonat (23,120 p.)

@Comandeer, Dzięki :) Ma to sens. Myślę, że pisząc projekt prędzej czy później bym to zauważył.

Przeglądałem stack overflow i nikt nie zwrócił uwagi na ten prosty szczegół... Niby banalne a jednak nie takie oczywiste na początku. Aż mi głupio, że nie od razu o tym pomyślałem. Chyba będę się trochę wstrzymywał przed zadawaniem pytań :)