React/Django REST - stan aplikacji (logowanie)

React/Django REST - stan aplikacji (logowanie)
jundymek
JU
jundymek
JU
  • Rejestracja:ponad 8 lat
  • Ostatnio:ponad 2 lata
  • Postów:75
0

Hej. Mam sobie aplikację napisaną w django, którą staram się przerobić, żeby działała razem z Reactem (backend Django REST, frontend react). Chciałem się zapytać bardziej doświadczonych programistów o dobre praktyki w zakresie logowania, przechowywania stanu aplikacji jeśli chodzi uwierzytelnianie użytkowników. Strona główna ma wyświetlać tablicę wyników przyporządkowaną do poszczególnych użytkowników. Jeśli użytkownik nie będzie zalogowany, ma nastąpić przejście do strony logowania. Analogicznie po zalogowaniu ma nastąpić przejście do strony głównej i wyświetlenie listy wyników. Poniżej kod który napisałem z prośbą o wytknięcie błędów (ewentualnie wskazanie, że moje rozwiązanie jest poprawne). Klucz logowania przechowuję w localstorage.
Strona główna:

Kopiuj
import React, { Component } from "react";
import axios from "axios";
import SiteTable from './SitesTable';
import { Redirect } from 'react-router-dom';

class Home extends Component {
  constructor(props) {
    super(props);
    this.state = { 
      sites: [], 
      username: localStorage.getItem('username') ? (localStorage.getItem('username')) : (''), 
      token: localStorage.getItem('token') ? (localStorage.getItem('token')) : ('')};
  }

  componentDidMount() {
    if (this.state.username) {
      axios.get("http://127.0.0.1:8000/api/sites/", {
        headers: {
          Authorization: `Token ${this.state.token}`
        }
      }).then(res => {
        this.setState({
          sites: res.data
        });
      });
    } else {
      console.log('Something went wrong')
    }
  }

  handleLogout = () => {
    localStorage.clear()
    this.setState({username: ''})
  }

  render() {
    if (!this.state.username) {
      return (
        <Redirect to='/login' />
      )
    }
    return (
      <div className="containter">
        <SiteTable sites={this.state.sites} />
        <button type="submit" onClick={this.handleLogout}>Logout</button>
      </div>
    );
  }
}

export default Home;

Strona logowania:

Kopiuj
import React, { Component } from 'react';
import axios from 'axios';
import { Redirect } from 'react-router-dom';

class Login extends Component {
    constructor(props) {
        super(props);
        this.state = { 
            username: "", 
            password: "", 
            isAuthenticated: false};
    }

    componentDidUpdate() {
        console.log(this.state)
    }

    handleChange(e, param) {
        e.preventDefault()
        this.setState({[param]: e.target.value})
    }

    handleSubmit = (e) => {
        e.preventDefault()
        axios.post('http://127.0.0.1:8000/rest-auth/login/', {
            username: this.state.username,
            password: this.state.password
          })
          .then(response => {
            const token = response.data.key;
            localStorage.setItem('username', this.state.username)
            localStorage.setItem('token', token)
            this.setState({isAuthenticated: true})
          })
          .catch(error => {
            console.log(error.response.statusText);
            alert('Please fill correct credentials')
            this.setState({username: "", password: ""})
          });
        console.log('Submitted')
    }

    render() {
        if (this.state.isAuthenticated) {
            return <Redirect to={{pathname: '/'}} />
        }
        return (
            <div className="container">
                <form onSubmit={this.handleSubmit}>
                    <input type="text" placeholder="Enter username" value={this.state.username} onChange={(e) => this.handleChange(e, 'username')}/>
                    <input type="password" placeholder="Enter password" value={this.state.password} onChange={(e) => this.handleChange(e, 'password')}/>
                    <button type="submit">Submit</button>
                </form>
            </div>
        )
    }
}

export default Login

Z góry dziękuję za wszelkie rady.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
neves
neves
neves
neves
  • Rejestracja:ponad 21 lat
  • Ostatnio:około 4 godziny
  • Lokalizacja:Kraków
  • Postów:1114
0

Nie bardzo widzę jaka jest relacja pomiędzy tymi dwoma komponentami, brakuje kodu który spaja to w całość. Z tego co wkleiłeś najbardziej się rzuca w oczy że token przechowujesz jako stan komponentu, jest to kompletnie nie potrzebna duplikacja danych już trzymanych w localstorage. W stanie komponentu powinieneś przechowywać jedynie rzeczy które wpływają na wygląd komponentu i się zmieniają, token zawsze możesz brać z localstorage.

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
jundymek
JU
jundymek
JU
  • Rejestracja:ponad 8 lat
  • Ostatnio:ponad 2 lata
  • Postów:75
0
neves napisał(a):

Nie bardzo widzę jaka jest relacja pomiędzy tymi dwoma komponentami, brakuje kodu który spaja to w całość. Z tego co wkleiłeś najbardziej się rzuca w oczy że token przechowujesz jako stan komponentu, jest to kompletnie nie potrzebna duplikacja danych już trzymanych w localstorage. W stanie komponentu powinieneś przechowywać jedynie rzeczy które wpływają na wygląd komponentu i się zmieniają, token zawsze możesz brać z localstorage.

Brzmi logicznie;) Faktycznie chyba nie muszę trzymać tego w state . Czy teraz jest lepiej (zmieniłem tylko component Home )?

Kopiuj
import React, { Component } from "react";
import axios from "axios";
import SiteTable from './SitesTable';
import { Redirect } from 'react-router-dom';

class Home extends Component {
  constructor(props) {
    super(props);
    this.state = {
      sites: [],
    }
  }
  componentDidMount() {
    if (localStorage.getItem('token')) {
      axios.get("http://127.0.0.1:8000/api/sites/", {
        headers: {
          Authorization: `Token ${localStorage.getItem('token')}`
        }
      }).then(res => {
        this.setState({
          sites: res.data
        });
      });
    } else {
      console.log('Something went wrong')
    }
  }

  handleLogout = () => {
    localStorage.clear()
  }

  render() {
    if (!localStorage.getItem('token')) {
      return (
        <Redirect to='/login' />
      )
    }
    return (
      <div className="containter">
        <p>You are logged as {localStorage.getItem('username')}</p>
        <SiteTable sites={this.state.sites} />
        <button type="submit" onClick={this.handleLogout}>Logout</button>
      </div>
    );
  }
}

export default Home;

Korzystając z okazji zapytam od razu o samo localStorage . Czy zapisywanie danych logowania w ten sposób jest bezpieczne? Na co tutaj ewentualnie trzeba uważać?

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Haskell
Haskell
Haskell
Haskell
  • Rejestracja:ponad 9 lat
  • Ostatnio:10 miesięcy
  • Postów:4700
0

LocalStorage w ogóle nie jest bezpieczne, tzn. bezpieczeństwo ogranicza się do tego, że dla każdej domeny masz osobny localStorage czyli jak strona X ustawi tam coś, to strony Y nie widzi tego wpisu. Nie powinno się jednak używać localStorage do przechowywania wrażliwych danych dotyczących sesji, ponieważ można je w dosyć łatwy sposób zaatakować.

Sesje albo trzymasz na serwerze albo używasz ciasteczek z flagą HttpOnly. Flaga HttpOnly wpływa na bezpieczeństwo w ten sposób, że blokuje próby odczytu cookie z tą flagą przez API inne niż HTTP. Oznacza to, że np. JavaScript nie może odczytać takiego cookie. Czyli atakujący nie da rady odczytać ciasteczka z flagą HttpOnly posługując się atakiem XSS.

Zaglądali do kufrów, zaglądali do waliz, nie zajrzeli do d**y - tam miałem socjalizm. Czesław Miłosz
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
neves
neves
neves
neves
  • Rejestracja:ponad 21 lat
  • Ostatnio:około 4 godziny
  • Lokalizacja:Kraków
  • Postów:1114
0
Haskell napisał(a):

LocalStorage w ogóle nie jest bezpieczne, tzn. bezpieczeństwo ogranicza się do tego, że dla każdej domeny masz osobny localStorage czyli jak strona X ustawi tam coś, to strony Y nie widzi tego wpisu. Nie powinno się jednak używać localStorage do przechowywania wrażliwych danych dotyczących sesji, ponieważ można je w dosyć łatwy sposób zaatakować.

W jaki łatwy sposób można zaatakować localStorage? jeśli masz na myśli XSS, to jak strona jest podatna na XSS to bez różnicy czy trzymasz w localStorage czy ciasteczku httpOnly i tak atakujący będzie mógł zrobić co zechce. Jak napastnik może wstrzyknąć dowolny kod to nic nie jest bezpieczne, dlatego należy dołożyć wszelki starań żeby strona nie była podatna na XSS, z Reactem jest o tyle fajnie że pozwala ustawić bardzo restrykcyjne CSP (nie to co Angular), blokujące wszelkie inlinowane rzeczy, evaly.

Haskell napisał(a):

Czyli atakujący nie da rady odczytać ciasteczka z flagą HttpOnly posługując się atakiem XSS.

Atakujący nie potrzebuje odczytać ciasteczka, wystarczy że wstrzyknie kod js wysyłający żądanie http, a ciasteczko zostanie dołączone automatycznie więc ciasteczko pada tak samo jak localStorage.

edytowany 2x, ostatnio: neves
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Haskell
Haskell
Haskell
Haskell
  • Rejestracja:ponad 9 lat
  • Ostatnio:10 miesięcy
  • Postów:4700
0

Piszesz o XST? O ile wiem przeglądarki obecnie zapobiegają przed TRACE requestem wykonanym w JS.

Generalnie ja nie trzymałbym tokena w localStorage, przedstawiłem swój punkt widzenia i argumenty powyżej. Z podatnością localStorage na ataki chodziło mi o to, że z pomocą XSS odczytasz go za pomocą JS, z kolei ciasteczka HttpOnly nie odczytasz za pomocą JS.

Zaglądali do kufrów, zaglądali do waliz, nie zajrzeli do d**y - tam miałem socjalizm. Czesław Miłosz
edytowany 1x, ostatnio: Haskell
Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
jundymek
JU
jundymek
JU
  • Rejestracja:ponad 8 lat
  • Ostatnio:ponad 2 lata
  • Postów:75
0

Trochę poczytałem w necie i już totalnie zgłupiałem. Głosy są podzielone. Jedni używają localStorage do przechowywania wrażliwych danych, inni odradzają. Tak się zastanawiam jak w praktyce mógłby wyglądać taki atak przechwytujący token logowania. Przecież localStorage zapisuje dane na urządzeniu użytkownika. Czy xss jest faktycznie realny do zastosowania na aplikacjach pisanych z zastosowaniem podstawowych zasad bezpieczeństwa. Chociażby większość frameworków czy to frontendowych czy backendowych ma zaimplementowane zabezpieczenia zapobiegające tego typu atakom. Jeśli sami nie napiszemy spartaczonego kodu to ciężko mi sobie wyobrazić sytuację, że ktoś faktycznie przechwyci dane zapisane w localStorage... Z chęcią poczytam więcej opinii na ten temat...;)

Udostępnij
Kopiuj link do postu Kopiuj link do postu jako Markdown
Komentuj
Treść
Podgląd
Kliknij, aby dodać treść...
Kliknij, aby dodać załącznik lub wklej ze schowka.
Instrukcja obsługi Markdown
Pomoc 1.18.8

Typografia

Edytor obsługuje składnie Markdown, w której pojedynczy akcent *kursywa* oraz _kursywa_ to pochylenie. Z kolei podwójny akcent **pogrubienie** oraz __pogrubienie__ to pogrubienie. Dodanie znaczników ~~strike~~ to przekreślenie.

Możesz dodać formatowanie komendami , , oraz .

Ponieważ dekoracja podkreślenia jest przeznaczona na linki, markdown nie zawiera specjalnej składni dla podkreślenia. Dlatego by dodać podkreślenie, użyj <u>underline</u>.

Komendy formatujące reagują na skróty klawiszowe: Ctrl+B, Ctrl+I, Ctrl+U oraz Ctrl+S.

Linki

By dodać link w edytorze użyj komendy lub użyj składni [title](link). URL umieszczony w linku lub nawet URL umieszczony bezpośrednio w tekście będzie aktywny i klikalny.

Jeżeli chcesz, możesz samodzielnie dodać link: <a href="link">title</a>.

Wewnętrzne odnośniki

Możesz umieścić odnośnik do wewnętrznej podstrony, używając następującej składni: [[Delphi/Kompendium]] lub [[Delphi/Kompendium|kliknij, aby przejść do kompendium]]. Odnośniki mogą prowadzić do Forum 4programmers.net lub np. do Kompendium.

Wspomnienia użytkowników

By wspomnieć użytkownika forum, wpisz w formularzu znak @. Zobaczysz okienko samouzupełniające nazwy użytkowników. Samouzupełnienie dobierze odpowiedni format wspomnienia, zależnie od tego czy w nazwie użytkownika znajduje się spacja.

Znaczniki HTML

Dozwolone jest używanie niektórych znaczników HTML: <a>, <b>, <i>, <kbd>, <del>, <strong>, <dfn>, <pre>, <blockquote>, <hr/>, <sub>, <sup> oraz <img/>.

Skróty klawiszowe

Dodaj kombinację klawiszy komendą notacji klawiszy lub skrótem klawiszowym Alt+K.

Reprezentuj kombinacje klawiszowe używając taga <kbd>. Oddziel od siebie klawisze znakiem plus, np <kbd>Alt+Tab</kbd>.

Indeks górny oraz dolny

Przykład: wpisując H<sub>2</sub>O i m<sup>2</sup> otrzymasz: H2O i m2.

Składnia Tex

By precyzyjnie wyrazić działanie matematyczne, użyj składni Tex.

<tex>arcctg(x) = argtan(\frac{1}{x}) = arcsin(\frac{1}{\sqrt{1+x^2}})</tex>

Kod źródłowy

Krótkie fragmenty kodu

Wszelkie jednolinijkowe instrukcje języka programowania powinny być zawarte pomiędzy obróconymi apostrofami: `kod instrukcji` lub ``console.log(`string`);``.

Kod wielolinijkowy

Dodaj fragment kodu komendą . Fragmenty kodu zajmujące całą lub więcej linijek powinny być umieszczone w wielolinijkowym fragmencie kodu. Znaczniki ``` lub ~~~ umożliwiają kolorowanie różnych języków programowania. Możemy nadać nazwę języka programowania używając auto-uzupełnienia, kod został pokolorowany używając konkretnych ustawień kolorowania składni:

```javascript
document.write('Hello World');
```

Możesz zaznaczyć również już wklejony kod w edytorze, i użyć komendy  by zamienić go w kod. Użyj kombinacji Ctrl+`, by dodać fragment kodu bez oznaczników języka.

Tabelki

Dodaj przykładową tabelkę używając komendy . Przykładowa tabelka składa się z dwóch kolumn, nagłówka i jednego wiersza.

Wygeneruj tabelkę na podstawie szablonu. Oddziel komórki separatorem ; lub |, a następnie zaznacz szablonu.

nazwisko;dziedzina;odkrycie
Pitagoras;mathematics;Pythagorean Theorem
Albert Einstein;physics;General Relativity
Marie Curie, Pierre Curie;chemistry;Radium, Polonium

Użyj komendy by zamienić zaznaczony szablon na tabelkę Markdown.

Lista uporządkowana i nieuporządkowana

Możliwe jest tworzenie listy numerowanych oraz wypunktowanych. Wystarczy, że pierwszym znakiem linii będzie * lub - dla listy nieuporządkowanej oraz 1. dla listy uporządkowanej.

Użyj komendy by dodać listę uporządkowaną.

1. Lista numerowana
2. Lista numerowana

Użyj komendy by dodać listę nieuporządkowaną.

* Lista wypunktowana
* Lista wypunktowana
** Lista wypunktowana (drugi poziom)

Składnia Markdown

Edytor obsługuje składnię Markdown, która składa się ze znaków specjalnych. Dostępne komendy, jak formatowanie , dodanie tabelki lub fragmentu kodu są w pewnym sensie świadome otaczającej jej składni, i postarają się unikać uszkodzenia jej.

Dla przykładu, używając tylko dostępnych komend, nie możemy dodać formatowania pogrubienia do kodu wielolinijkowego, albo dodać listy do tabelki - mogłoby to doprowadzić do uszkodzenia składni.

W pewnych odosobnionych przypadkach brak nowej linii przed elementami markdown również mógłby uszkodzić składnie, dlatego edytor dodaje brakujące nowe linie. Dla przykładu, dodanie formatowania pochylenia zaraz po tabelce, mogłoby zostać błędne zinterpretowane, więc edytor doda oddzielającą nową linię pomiędzy tabelką, a pochyleniem.

Skróty klawiszowe

Skróty formatujące, kiedy w edytorze znajduje się pojedynczy kursor, wstawiają sformatowany tekst przykładowy. Jeśli w edytorze znajduje się zaznaczenie (słowo, linijka, paragraf), wtedy zaznaczenie zostaje sformatowane.

  • Ctrl+B - dodaj pogrubienie lub pogrub zaznaczenie
  • Ctrl+I - dodaj pochylenie lub pochyl zaznaczenie
  • Ctrl+U - dodaj podkreślenie lub podkreśl zaznaczenie
  • Ctrl+S - dodaj przekreślenie lub przekreśl zaznaczenie

Notacja Klawiszy

  • Alt+K - dodaj notację klawiszy

Fragment kodu bez oznacznika

  • Alt+C - dodaj pusty fragment kodu

Skróty operujące na kodzie i linijkach:

  • Alt+L - zaznaczenie całej linii
  • Alt+, Alt+ - przeniesienie linijki w której znajduje się kursor w górę/dół.
  • Tab/⌘+] - dodaj wcięcie (wcięcie w prawo)
  • Shit+Tab/⌘+[ - usunięcie wcięcia (wycięcie w lewo)

Dodawanie postów:

  • Ctrl+Enter - dodaj post
  • ⌘+Enter - dodaj post (MacOS)