api'lerle iletişim kuruyor haliyle.
kurarken de bir bearer token vasıtasıyla iletişim kuruyor.
tabi uygulama, bir client uygulaması olduğu için bearer token vs. apaçık ortada.
ama ben bunun herkesin erişebileceği bir noktada olmasını istemiyorum. bu access token'ın gizli olmasını, end user tarafından erişilebilir olmamasını istiyorum. buna dair nasıl bir yöntem izleniyor react tarafında? en mantıklı çözüm nedir, örnek bir ders vs. var mıdır?
bir proxy server açtık diyelim express ile,
ardından ben tüm requestlerimi bu tarafa yapıyorum. bu da arkada access token ile gerçek api'ye bağlanyıor. mümkün müdür?
ancak buradaki access_token'ı dynamic yapmak mümkün olur mu acaba vs? (yani her user başka bir access_token kullanıyor olacak vs.)
----
neyse aklım biraz karıştı da, bana bi öneride bulunursanız çok makbule geçer.
Yanlış bilgi veriyor olabilirim ama doğru anladıysam client ve server arasında kullanıcı bazında ve değişken bir anahtar lazım?
Hiç react kullanmadım, yanlış şey yazmak istemem ama belki bir fikir verir.
Kullanıcı adı şifre ile doğrulama yapıp ardından bir session ID olustursan ve iş ye bir ömür versen + kullanıcı ip si ile de eşlesen olmaz mı?
Nasıl yapılacağını bilmiyorum, dediğim gibi fikir verebilir diye yazdım.
sana jwt lazim
@nibba,
aslında çözümüm jwt token değil. çünkü o başka bir şey.
ben halihazırdaki jwt tokenlara erişilememesini istiyorum. api'ların web uygulaması dışında kullanılamamasını istiyorum. network üzerinden token'a erişip sonrasında postman üzerinden istek atamamalarını istiyorum.
şuan bahsetmeye çalıştığım sorun şu: session da üretsem, jwt token da üretsem end user buna erişebiliyor uygulamamda. server tarafında tutamıyorum, bunu nasıl tutabilirim server tarafında. sorum bu aslında.
cozum ".env" dosyasi, ama yine de guvenli degil. client tarafta sakladigin hicbir token guvende degildir, sonucta kullanicinin bilgisayarina iniyor o token.
ideal cozum token sunucuda saklanmali, authentication sunucu tarafta yapilip, client taraf token gereken hizmete sunucuda uzerinden ulasmali.