2015-09-22 14 views
7

認証呼び出しによって返されたAPIトークンをFlux(具体的にはRedux)ストアに格納することは安全ですか?私はWebpackを使ってプロジェクト内のすべての資産をコンパイルしました。これは、店舗を読み込んでトークンを抽出するサードパーティのスクリプトから店舗の範囲が限定されていると考えています。APIトークンはFlux(Redux)ストア内で安全ですか?

トークンは、Authorization: bearer ...ヘッダーのHTTPSで送信されます。

+1

絶対にありません。誰でもあなたのAPIキーを見ることができるのでなければ、少なくともそれはできません。誰でもいつでもクライアント側のJS内のデータにアクセスできます(例:chrome dev tools)。 –

+0

これをお読みください。 http://stackoverflow.com/questions/20963273/spa-best-practices-for-authentication-and-session-management –

答えて

7

信頼できないサードパーティのスクリプトがページ上で実行されている場合は、ページの完全性が損なわれても何も安全でないと想定する必要があります。

信頼できるスクリプトのみが実行されている場合は、ブラウザのセキュリティとサイトのXSS攻撃に対する安全性によって、トークンが安全であるとみなすことができます。

編集:

明確にするため、これはサードパーティのスクリプトから安全です。ユーザー自身のトークンを隠そうとしているのであれば、ユーザーのマシンにアクセスできれば、最終的にはユーザーがそのトークンにアクセスできるので、コードをどれほど難読化しても常に安全ではないという答えです(あなたはそれをより困難にすることはできますが、不可能ではありません)。

+1

@Carson JSに格納されているものは安全であると想定されるものは何も追加したくないなぜなら、あなたのページへのアクセス権を持つスクリプトは、理論的にはスクリプト/スコープにアクセスできるからです。私はトレバーに同意します。これは本当にあなたのページで実行されているスクリプトをどれくらいうまく信じるかにかかっています。 –

関連する問題