[]

React - Access Token Gizlemek

selamlar bir react uygulamam var.

api'lerle iletişim kuruyor haliyle.

kurarken de bir bearer token vasıtasıyla iletişim kuruyor.

tabi uygulama, bir client uygulaması olduğu için bearer token vs. apaçık ortada.

ama ben bunun herkesin erişebileceği bir noktada olmasını istemiyorum. bu access token'ın gizli olmasını, end user tarafından erişilebilir olmamasını istiyorum. buna dair nasıl bir yöntem izleniyor react tarafında? en mantıklı çözüm nedir, örnek bir ders vs. var mıdır?

bir proxy server açtık diyelim express ile,
ardından ben tüm requestlerimi bu tarafa yapıyorum. bu da arkada access token ile gerçek api'ye bağlanyıor. mümkün müdür?

ancak buradaki access_token'ı dynamic yapmak mümkün olur mu acaba vs? (yani her user başka bir access_token kullanıyor olacak vs.)

----

neyse aklım biraz karıştı da, bana bi öneride bulunursanız çok makbule geçer.

 
Yanlış bilgi veriyor olabilirim ama doğru anladıysam client ve server arasında kullanıcı bazında ve değişken bir anahtar lazım?

Hiç react kullanmadım, yanlış şey yazmak istemem ama belki bir fikir verir.

Kullanıcı adı şifre ile doğrulama yapıp ardından bir session ID olustursan ve iş ye bir ömür versen + kullanıcı ip si ile de eşlesen olmaz mı?
Nasıl yapılacağını bilmiyorum, dediğim gibi fikir verebilir diye yazdım.
  • kisa  (16.07.23 10:46:50) 
sana jwt lazim


  • nibba  (16.07.23 13:55:52) 
@nibba,

aslında çözümüm jwt token değil. çünkü o başka bir şey.

ben halihazırdaki jwt tokenlara erişilememesini istiyorum. api'ların web uygulaması dışında kullanılamamasını istiyorum. network üzerinden token'a erişip sonrasında postman üzerinden istek atamamalarını istiyorum.
  • whatdreamsnevercome  (17.07.23 08:15:36) 
şuan bahsetmeye çalıştığım sorun şu: session da üretsem, jwt token da üretsem end user buna erişebiliyor uygulamamda. server tarafında tutamıyorum, bunu nasıl tutabilirim server tarafında. sorum bu aslında.


  • whatdreamsnevercome  (17.07.23 08:16:13) 
cozum ".env" dosyasi, ama yine de guvenli degil. client tarafta sakladigin hicbir token guvende degildir, sonucta kullanicinin bilgisayarina iniyor o token.

ideal cozum token sunucuda saklanmali, authentication sunucu tarafta yapilip, client taraf token gereken hizmete sunucuda uzerinden ulasmali.
  • emrahday  (19.07.23 11:08:39) 
1
buraya yazılanların hakları Sir Anthony Hopkins'e aittir.
yazan eden compumaster, ilgilenen eden fader
modere edenler angelus, Artibir, aychovsky, baba jo, basond, compumaster, deckard, duyulmasi gerektigi kadar, fader, fraise, groove salad, kahvegibi, kaymaktutmayansicaksut, kibritsuyu, monstro, pandispanya, robin, ron dennis
bu sitede yazılanların hiçbiri doğru değildir. site içeriği küçükler için sakıncalı olabilir. yazılardan yazarları sorumludur. kaynak göstermeden alıntılanamaz. devlet tarafından atanmış bir kurumun internet üzerinde kimin hangi bilgiye ulaşıp ulaşamayacağına karar vermesi insan haklarına aykırıdır. web siteleri kullanıcıların istekleri doğrultusunda bağlandıkları yerlerdir. kullanıcılar isterlerse bir web sitesine bağlanmayabilirler. bu güçleri ve imkanları mevcuttur. bir kullanıcı bir siteye bağlanmak istiyorsa bu onun tercihi ve hakkıdır. bağlanmak istemiyorsa bu yine onun tercihi ve hakkıdır. halkın kendisine hizmet etmesi için görevlendirdiği kurumlar hadlerini aşıp halka neye ulaşıp ulaşmayacağını bilmeyen cahil cühela muamelesi edemezler. ebeveynlerin çocuklarını sakıncalı içeriklerden koruması için çok sayıda bedava ve ücretli yazılım mevcuttur. bu yazılımlar bir web tarayıcısını kullanmaktan daha karmaşık teknik bilgi gerektirmemektedir. devletin milletini küçük düşürmesi ve ebleh yerine koyması yasaktır. Skimlinks ile linkler üzerinden yönlendirme payı alınmaktadır.