История изменений
Исправление vvn_black, (текущая версия) :
В моём мире есть соединение и оно уже по умолчанию безопасено. Мне не нужно никакие запросы авторизовывать.
Как так? Ладно, допустим, соединение безопасно, т.е. MITM полностью исключаешь. Как бэк может обрабатывать запросы клиента без авторизации, особенно в системе с разграничением прав по ролям, пользователям etc? У тебя таким образом валидный низкопривилегированый клиент будет иметь возможность рулить всеми доступными функциями.
Все эти базворды из мира пхп/хттп.
Ничего подобного. У тебя через ws клиент как с бэком общается, наверняка что-то типа RPC? Ну и как тут без авторизации каждого запроса-вызова? Что ты тут лучше токенов придумаешь?
Исправление vvn_black, :
В моём мире есть соединение и оно уже по умолчанию безопасено. Мне не нужно никакие запросы авторизовывать.
Как так? Ладно, допустим, соединение безопасно, т.е. MITM полностью исключаешь. Как бэк может обрабатывать запросы клиента без авторизации, особенно в системе с разграничением прав по ролям, пользователям etc? У тебя таким образом валидный низкопривилегированый клиент будет иметь возможность рулить всеми доступными функциями.
Исходная версия vvn_black, :
В моём мире есть соединение и оно уже по умолчанию безопасено. Мне не нужно никакие запросы авторизовывать.
Как так? Ладно, допустим, соединение безопасно, т.е. MITM полностью исключаешь. Как бэк может обрабатывать запросы клиента без авторизации, особенно в системе с разграничением прав по ролям, пользователям etc?