node.js شرح - هل رموز أبي آمنة داخل مخزن تدفق(ريدوكس)؟




تعلم tutorial (2)

إذا كانت النصوص البرمجية لجهة خارجية غير موثوق بها قيد التشغيل على الصفحة، فيجب أن تفترض أن لا شيء آمن حيث يتم اختراق سلامة الصفحة بالكامل.

في حالة تشغيل النصوص البرمجية الموثوق بها فقط، يمكنك افتراض أن الرمز المميز آمن، مع مراعاة أمان المتصفح ومدى أمان موقعك ضد هجمات شس.

تصحيح:

لتوضيح، هذا هو السلامة من البرامج النصية الطرف الثالث. إذا كنت تحاول إخفاء الرمز المميز الخاص بك من المستخدم نفسه فإن الجواب هو أنه سيكون دائما غير آمن، بغض النظر عن مقدار كنت تشوش التعليمات البرمجية الخاصة بك منذ إذا كان الجهاز المستخدم لديه حق الوصول إليه، ثم في نهاية المطاف يمكن للمستخدم الوصول إليها (يمكنك جعله أكثر صعوبة، ولكن ليس مستحيلا).

هل سيكون من الآمن تخزين رمز واجهة برمجة التطبيقات الذي تم إرجاعه من خلال مكالمة مصادقة في مخزن فلوكس (تحديدا، ريدوكس)؟ لقد استخدمت ويباك لتجميع جميع الأصول في المشروع، وهو ما أعتقد يعني أن يتم تحديد مخزن بعيدا عن متناول النصوص من طرف ثالث تبحث لقراءة المخزن واستخراج الرمز المميز.

و، لما يستحق، يتم إرسال الرمز المميز عبر هتبس في Authorization: bearer ... رأس.


من فهمي لل process.env ، يمكنك ببساطة معاملته مثل أي متغير آخر عند تعيين خصائصه. ضع في اعتبارك أن كل قيمة في process.env يجب أن تكون سلسلة. لذلك ، إذا كنت بحاجة إلى قيمة معينة في الاختبار الخاص بك:

   it('does something interesting', () => {
      process.env.NODE_ENV = 'test';
      // ...
   });

لتجنب تسرب الحالة إلى اختبارات أخرى ، تأكد من إعادة تعيين المتغير إلى قيمته الأصلية أو حذفه تمامًا:

   afterEach(() => {
       delete process.env.NODE_ENV;
   });




node.js reactjs flux redux