Lưu access token ở local storage hay Cookies? | Ông Dev | Techlog
HTML-код
- Опубликовано: 17 июл 2024
- Hế lô hế lô, Ông dev đây!
Video này mình sẽ nói về việc lưu access token ở local storage hay là cookies.
Chapters:
0:00 Mở đầu
0:24 Access token là gì
2:56 Lưu access token vào đâu?
5:40 Vậy thì khi nào lưu ở local storage, khi nào cookies?
6:42 Kết
- Theo dõi kênh mình để xem những video về lập trình và cuộc sống của một lập trình viên -
ongdev.link/subscribe
- Dashboard của mình -
ongdev.com
- Facebook page của mình -
/ ongdevvuitinh
Cảm ơn các bạn đã quan tâm theo dõi.
#ôngdev #techlog 
Развлечения
1 khía cạnh khác nữa là do bussiness, cookie chỉ tồn tại trên browser thôi, bussiness đòi phát triển cả mobile app nữa thì buộc phải lưu ở storage để đồng bộ code :D
Hay nha ông dev, hy vọng ông dev ra nhiều video nói về kỹ thuật người ta hay xài như này nha
ủng hộ ÔĐ ra những video như thế này
Hehe ok e
API Server sẽ phải support nhiều đường láy token: 1 cookie, 2 header. Đối với client là web thì không cần lo chỗ lưu access_token vì server lo phần này qua api login và logout set vào cookie, và cookie cũng chỉ nên lưu những thông tin bảo mật hoặc cần gửi bởi tất cả api thôi. phía mobile app thì vẫn có thể lưu ở những chỗ khác vì app mobile ko gặp phải những vấn đề như XSS và vẫn gửi token qua đường header đều được.
Anh làm video về SQL với NoSQL, trường hợp sử dụng các thứ đi ạ
fan mới của Ông Dev, hình như ông dev người QN-DN
a có dạy khoá học ở bên ngoài ko a, e cx đang sinh viên cntt ở đà nẵng năm 4 mà hiện tại kiến thức vẫn mong lung quá xin thực tập vẫn chưa có chỗ nào nhận, mà đang buồn ngủ nghe a nói cái tỉnh queo luôn
em thường lưu access token ở local storage còn refresh token trong cookie http only :v mong trong tương lai a làm thêm về refresh token
Thêm một recommend nữa cho các bạn là nếu như các công ty lớn có nhiều hệ sinh thái khác nhau và build single sign on thì buộc phải lưu token vào cookie. Vì local storage chỉ cho phép access từ một domain.
cám ơn người a e
Hình như có thể lưu ở phía server hả các bác
nay ở nhà hơi lên cân a hỉ :v
vậy làm thế nào để làm https vậy ạ ! mong ông dev trả lời trong một video nào đó sớm nhất
Ok e
dùng certbot là đơn giản nhất và miễn phí, chỉ cần 1 lần duy nhất
hi OD, cho tui hỏi 1 câu nhé
khi lựu trên cookie mình check login ở client như nào ạ?
có phải gọi lên server để check user có login chưa hay sao ạ?
Thường thì mình sẽ có 1 endpoint để getProfile, nếu profile có data thì là login rồi, 401 thì là chưa
@ ok thank, nhưng vấn đề refresh token thì như thế nào z ạ?
Ông Dev mua nến thơm ở đâu vậy ạ? Em đang cần mua nến thơm để thư giãn lúc debug nhưng chưa tìm được mùi ưng ý ạ.
Hí
Mình có bán
Cookies set httpOnly chặn js sao lấy đc token gửi lên server z ạ
Ví dụ em dùng axios để call api, thì khi e khởi tạo axios e set useCredentials: true thì nó sẽ tự bợ cookie và kèm theo request nha.
@dùng cách này sẽ tự lấy token và set vào header authorization luôn hả anh
cho em hỏi, trong trường hợp lưu localstorage, ngta lấy access_token và refresh token để call postman thì sao ạ
Thường a dùng postman thì sau khi response có được access_token a sẽ lưu vào biến env của postman workplace, các api khác sẽ dùng cái đó.
@ dạ, cảm ơn anh vì câu trả lời. Nhưng ý em muốn hỏi, nếu hacker lấy đc token từ localstorage và call api bằng postman để phá thì case này xử lý ntn ạ
@@huypham-im4lw Server thì phải có allow origin á e, thì chỉ những origin nào có trong whitelist mới đc call api, hoặc check agent,... nói chung là nhiều cách. Kèm theo là giữ thời gian tồn tại của token ngắn thôi.
Anh ơi em thắc mắc tại sao Storage ko gửi thông tin lên sever nhưng lại vẫn có thể lưu access token ở Storage ạ
E lưu đó rồi e tự gửi theo thôi
@ anh có thể nói rõ hơn ko ạ, theo em hiểu thì thông tin từ cookies sẽ tự động đính kèm request từ phía client, nhưng thông tin từ Storage thì không, vậy nếu mình lưu đoạn mã token vào storage thì nó có gửi được đi đâu để mà xác thực với phía server ạ
@@manhhai8025 khi em gửi request lên sv, em có thể lấy token ra và gắn vào header Authorization: Bearer
Rồi ở sv e lấy ra xử lý e