1 khía cạnh khác nữa là do bussiness, cookie chỉ tồn tại trên browser thôi, bussiness đòi phát triển cả mobile app nữa thì buộc phải lưu ở storage để đồng bộ code :D
API Server sẽ phải support nhiều đường láy token: 1 cookie, 2 header. Đối với client là web thì không cần lo chỗ lưu access_token vì server lo phần này qua api login và logout set vào cookie, và cookie cũng chỉ nên lưu những thông tin bảo mật hoặc cần gửi bởi tất cả api thôi. phía mobile app thì vẫn có thể lưu ở những chỗ khác vì app mobile ko gặp phải những vấn đề như XSS và vẫn gửi token qua đường header đều được.
Thêm một recommend nữa cho các bạn là nếu như các công ty lớn có nhiều hệ sinh thái khác nhau và build single sign on thì buộc phải lưu token vào cookie. Vì local storage chỉ cho phép access từ một domain.
a có dạy khoá học ở bên ngoài ko a, e cx đang sinh viên cntt ở đà nẵng năm 4 mà hiện tại kiến thức vẫn mong lung quá xin thực tập vẫn chưa có chỗ nào nhận, mà đang buồn ngủ nghe a nói cái tỉnh queo luôn
@ dạ, cảm ơn anh vì câu trả lời. Nhưng ý em muốn hỏi, nếu hacker lấy đc token từ localstorage và call api bằng postman để phá thì case này xử lý ntn ạ
Рік тому
@@huypham-im4lw Server thì phải có allow origin á e, thì chỉ những origin nào có trong whitelist mới đc call api, hoặc check agent,... nói chung là nhiều cách. Kèm theo là giữ thời gian tồn tại của token ngắn thôi.
@ anh có thể nói rõ hơn ko ạ, theo em hiểu thì thông tin từ cookies sẽ tự động đính kèm request từ phía client, nhưng thông tin từ Storage thì không, vậy nếu mình lưu đoạn mã token vào storage thì nó có gửi được đi đâu để mà xác thực với phía server ạ
Рік тому+2
@@manhhai8025 khi em gửi request lên sv, em có thể lấy token ra và gắn vào header Authorization: Bearer Rồi ở sv e lấy ra xử lý e
1 khía cạnh khác nữa là do bussiness, cookie chỉ tồn tại trên browser thôi, bussiness đòi phát triển cả mobile app nữa thì buộc phải lưu ở storage để đồng bộ code :D
API Server sẽ phải support nhiều đường láy token: 1 cookie, 2 header. Đối với client là web thì không cần lo chỗ lưu access_token vì server lo phần này qua api login và logout set vào cookie, và cookie cũng chỉ nên lưu những thông tin bảo mật hoặc cần gửi bởi tất cả api thôi. phía mobile app thì vẫn có thể lưu ở những chỗ khác vì app mobile ko gặp phải những vấn đề như XSS và vẫn gửi token qua đường header đều được.
Hay nha ông dev, hy vọng ông dev ra nhiều video nói về kỹ thuật người ta hay xài như này nha
ủng hộ ÔĐ ra những video như thế này
Hehe ok e
Thêm một recommend nữa cho các bạn là nếu như các công ty lớn có nhiều hệ sinh thái khác nhau và build single sign on thì buộc phải lưu token vào cookie. Vì local storage chỉ cho phép access từ một domain.
Anh làm video về SQL với NoSQL, trường hợp sử dụng các thứ đi ạ
a có dạy khoá học ở bên ngoài ko a, e cx đang sinh viên cntt ở đà nẵng năm 4 mà hiện tại kiến thức vẫn mong lung quá xin thực tập vẫn chưa có chỗ nào nhận, mà đang buồn ngủ nghe a nói cái tỉnh queo luôn
fan mới của Ông Dev, hình như ông dev người QN-DN
em thường lưu access token ở local storage còn refresh token trong cookie http only :v mong trong tương lai a làm thêm về refresh token
cám ơn người a e
Hình như có thể lưu ở phía server hả các bác
vậy làm thế nào để làm https vậy ạ ! mong ông dev trả lời trong một video nào đó sớm nhất
Ok e
dùng certbot là đơn giản nhất và miễn phí, chỉ cần 1 lần duy nhất
Ông Dev mua nến thơm ở đâu vậy ạ? Em đang cần mua nến thơm để thư giãn lúc debug nhưng chưa tìm được mùi ưng ý ạ.
Hí
Mình có bán
Cookies set httpOnly chặn js sao lấy đc token gửi lên server z ạ
Ví dụ em dùng axios để call api, thì khi e khởi tạo axios e set useCredentials: true thì nó sẽ tự bợ cookie và kèm theo request nha.
@dùng cách này sẽ tự lấy token và set vào header authorization luôn hả anh
nay ở nhà hơi lên cân a hỉ :v
hi OD, cho tui hỏi 1 câu nhé
khi lựu trên cookie mình check login ở client như nào ạ?
có phải gọi lên server để check user có login chưa hay sao ạ?
Thường thì mình sẽ có 1 endpoint để getProfile, nếu profile có data thì là login rồi, 401 thì là chưa
@ ok thank, nhưng vấn đề refresh token thì như thế nào z ạ?
cho em hỏi, trong trường hợp lưu localstorage, ngta lấy access_token và refresh token để call postman thì sao ạ
Thường a dùng postman thì sau khi response có được access_token a sẽ lưu vào biến env của postman workplace, các api khác sẽ dùng cái đó.
@ dạ, cảm ơn anh vì câu trả lời. Nhưng ý em muốn hỏi, nếu hacker lấy đc token từ localstorage và call api bằng postman để phá thì case này xử lý ntn ạ
@@huypham-im4lw Server thì phải có allow origin á e, thì chỉ những origin nào có trong whitelist mới đc call api, hoặc check agent,... nói chung là nhiều cách. Kèm theo là giữ thời gian tồn tại của token ngắn thôi.
Anh ơi em thắc mắc tại sao Storage ko gửi thông tin lên sever nhưng lại vẫn có thể lưu access token ở Storage ạ
E lưu đó rồi e tự gửi theo thôi
@ anh có thể nói rõ hơn ko ạ, theo em hiểu thì thông tin từ cookies sẽ tự động đính kèm request từ phía client, nhưng thông tin từ Storage thì không, vậy nếu mình lưu đoạn mã token vào storage thì nó có gửi được đi đâu để mà xác thực với phía server ạ
@@manhhai8025 khi em gửi request lên sv, em có thể lấy token ra và gắn vào header Authorization: Bearer
Rồi ở sv e lấy ra xử lý e