Encore une vidéo concise et passionnante, je me rends compte que VueJS n'est pas simple à appréhender, sa logique etc.. A l'occasion, une vidéo genre un CRUD (en VueJS) avec authentification serait top !
Merci pour ta vidéo! Je pense que ça serait intéressant de faire une vidéo qui explique quoi mettre en place en front pour refresh le token ou pour vérifier la validité du token.
tu as raison, je pense vous pavez le faire avec replacement : store.state.user.token(), token() est une Actions qui peut utilise await, si la date de lifeTime de token est mort, je ne sais pas juste comme bien est la durée de vie d'un token dans laravel, peut etre nordCode va nous le dire
Merci pour ta vidéo, je viens de mettre Sanctum avec Vue3 la semaine dernière. Le timing était proche ! Ton store persiste la data ? J'ai du passer par le localstorage pour pouvoir garder mon token. Continue tes vidéos, je men inspire énormément, bien plus parlant que les tutos écrit !
Stocker le token dans le localStorage est une mauvaise pratique. Toutes les données stockées en localStorage sont modifiables par l'utilisateur. Et il ne faut jamais faire confiance à l'utilisateur. Il vaut mieux vérifier que le token existe avec une requête que de stocker cela dans le navigateur.
merci infiniment, d’habitude je fais de fromScratch avec php-jwt et un scripte vanillaJS, avec votre video c'est le future, c'est cool thx gays, ps : j'ai remplace veux par pinia :)
Bonjour, sauf erreur de ma part, j'ai une erreur de persistante du store, une fois connecté, quant je clique sur Obtenir mes informations je reçois le message 401 Unauthorized; import { createStore } from 'vuex'; const store = createStore({ state:{ user:{ data: {}, token: null } } }); export default store;
Merci pour la vidéo claire ! J'ai quelques questions : - Ça ne pose pas de problème d'envoyer le mot de passe en clair au serveur ? - Ça marche de la même manière avec d'autres framework back-end ? (Spring, Symfony,...) J'avais essayé avec Spring mais les tutos sur internet n'étaient pas aussi clair que celui-ci, encore une fois merci pour tout ce que vous faites 🙏
Merci pour ton commentaire! De quel moment parles tu? En général, mes pratiques viennent d'autres vidéos / articles que j'ai lu et qui sont relativement secure mais personne n'est parfait !
A 10:07, de mémoire pendant mes cours les profs disaient qu'il ne fallait pas envoyer des mots de passe en clair et j'voulais juste savoir si de cette manière c'était "secure"
@@mystkun8284 Ah oui, je comprends mieux. Non il n'y a aucun souci, tes professeurs parlaient de la bonne pratique qui consiste à "hasher" les mots de passes en BDD. C'est un processus destructif qui empêchent les pirates de récupérer les mots de passe si un jour ils volent des informations.
Je vous propose mon approche mais je ne sais pas encor la faire avec Larave, a chaque response regenerate token, le problem si ça ne va pas faire des requette de plus dans la db
Bonjour merci beaucoup pour votre video. J'ai quelques petites questions : j'ai utilisé sanctum api token pour juste sécuriser mes routes d'api pour l'instant, et lorsque j'ouvre l'application dans une nouvelle fenêtre, je perd le token et il faut que je me re-authentifie, y a t il un moyen de remédier à cela ? Et si j'utilise plutôt sanctum SPA Auth avec le système de session, aurais je le même problème ?
On voit ça dans une vidéo prochaine, mais globalement si tu le stockes en localStorage et que tu ajoutes token: localStorage.getItem('auth_token') dans ton store, ça le fait :)
Bonjour Nord Coders, J'apprécie tout ce que tu fais et tu fais un travail remarquable, surtout pour les débutants comme moi. Néanmoins, arrivé à la fin de ton tuto, lorsque j'essaie de me connecter, la console de mon nav me renvoie un "undefined" au lieu du token. Il s'agit du console.log que tu places dans le index.router "if (to.meta.requiresAuth && !store.state.user.token) ". As tu une idée parce que je bloque dessus depuis 1h. Merci ;)
Salut, merci pour votre vidéo Une question SVP : Pour la protection CSRF, c'est un faille qui touche juste les formulaires ? et si on utilise VueJS avec une authentification avec Token, est ce que on doit aussi inclure un header avec une vérification CSRF dans axios ou c'est pas la pêne par ce que déjà on vérifie que c'est la bonne personne qui envoie le formulaire grâce au Token ? Merci d'avance
Je pense qu'il faut. Le middleware de Laravel n'autorise aucune requête POST si le token csrf n'est pas présent dans les entêtes. Il y a plusieurs façons de l'injecter :) je te laisse chercher sur Google ;)
@@hacene4111 après un peu de recherche, lorsqu'on utilise le système d'authentification de Sanctum, etant donné qu'il utilise le système de cookie construit dans Laravel, pas de problème pour ces éventuelles failles web. " Laravel's built-in cookie based session authentication services. This provides the benefits of CSRF protection, session authentication, as well as protects against leakage of the authentication credentials via XSS. "
@@LaravelJutsu oui si on utilise le système de protection sanctum par cookie on doit se protéger de la faille csrf on ajoutant dans le header de axios le token généré, mais si on utilise le sanctum par jetons comme dans la vidéo ici y'a pas de cookie de session alors pas la peine de se protéger de la faille à mon avis.
@@hacene4111 ah voilà j'ai trouvé pour la partie intéressante de la SPA : To authenticate your SPA, your SPA's "login" page should first make a request to the /sanctum/csrf-cookie endpoint to initialize CSRF protection for the application. Et bien évidemment pas pour le token based :)
Encore une vidéo concise et passionnante, je me rends compte que VueJS n'est pas simple à appréhender, sa logique etc.. A l'occasion, une vidéo genre un CRUD (en VueJS) avec authentification serait top !
Merci pour ta vidéo! Je pense que ça serait intéressant de faire une vidéo qui explique quoi mettre en place en front pour refresh le token ou pour vérifier la validité du token.
tu as raison, je pense vous pavez le faire avec replacement : store.state.user.token(),
token() est une Actions qui peut utilise await, si la date de lifeTime de token est mort,
je ne sais pas juste comme bien est la durée de vie d'un token dans laravel,
peut etre nordCode va nous le dire
Yessss, Merci pour ce tuto d'auth, car je suis en plein dedans !!:) mais avec un front 'déporté" ...
Merci pour ta vidéo, je viens de mettre Sanctum avec Vue3 la semaine dernière. Le timing était proche !
Ton store persiste la data ? J'ai du passer par le localstorage pour pouvoir garder mon token.
Continue tes vidéos, je men inspire énormément, bien plus parlant que les tutos écrit !
Stocker le token dans le localStorage est une mauvaise pratique. Toutes les données stockées en localStorage sont modifiables par l'utilisateur. Et il ne faut jamais faire confiance à l'utilisateur. Il vaut mieux vérifier que le token existe avec une requête que de stocker cela dans le navigateur.
Merci beaucoup pour la video.
merci infiniment,
d’habitude je fais de fromScratch avec php-jwt et un scripte vanillaJS,
avec votre video c'est le future, c'est cool thx gays,
ps : j'ai remplace veux par pinia :)
Merci pour ce partage :)
Merci pour ta vidéo, je ne comprenais pas comment créer une api d'authentification pour mon application mobile Ionic avec VueJS
Bonjour, sauf erreur de ma part, j'ai une erreur de persistante du store, une fois connecté, quant je clique sur Obtenir mes informations je reçois le message 401 Unauthorized; import { createStore } from 'vuex';
const store = createStore({
state:{
user:{
data: {},
token: null
}
}
});
export default store;
Que faut t'il rajouter pour garder la session actif si on recharge la page
Merci pour la vidéo claire ! J'ai quelques questions :
- Ça ne pose pas de problème d'envoyer le mot de passe en clair au serveur ?
- Ça marche de la même manière avec d'autres framework back-end ? (Spring, Symfony,...) J'avais essayé avec Spring mais les tutos sur internet n'étaient pas aussi clair que celui-ci, encore une fois merci pour tout ce que vous faites 🙏
Passe a laravel.
C'est à titre informatif 🤓
Merci pour ton commentaire! De quel moment parles tu? En général, mes pratiques viennent d'autres vidéos / articles que j'ai lu et qui sont relativement secure mais personne n'est parfait !
A 10:07, de mémoire pendant mes cours les profs disaient qu'il ne fallait pas envoyer des mots de passe en clair et j'voulais juste savoir si de cette manière c'était "secure"
@@mystkun8284 Ah oui, je comprends mieux. Non il n'y a aucun souci, tes professeurs parlaient de la bonne pratique qui consiste à "hasher" les mots de passes en BDD. C'est un processus destructif qui empêchent les pirates de récupérer les mots de passe si un jour ils volent des informations.
Je vous propose mon approche mais je ne sais pas encor la faire avec Larave,
a chaque response regenerate token,
le problem si ça ne va pas faire des requette de plus dans la db
Bonjour merci beaucoup pour votre video. J'ai quelques petites questions : j'ai utilisé sanctum api token pour juste sécuriser mes routes d'api pour l'instant, et lorsque j'ouvre l'application dans une nouvelle fenêtre, je perd le token et il faut que je me re-authentifie, y a t il un moyen de remédier à cela ? Et si j'utilise plutôt sanctum SPA Auth avec le système de session, aurais je le même problème ?
On voit ça dans une vidéo prochaine, mais globalement si tu le stockes en localStorage et que tu ajoutes token: localStorage.getItem('auth_token') dans ton store, ça le fait :)
@@LaravelJutsu Ok merci, beaucoup je vais me pencher la dessus !
Bonjour Nord Coders,
J'apprécie tout ce que tu fais et tu fais un travail remarquable, surtout pour les débutants comme moi.
Néanmoins, arrivé à la fin de ton tuto, lorsque j'essaie de me connecter, la console de mon nav me renvoie un "undefined" au lieu du token.
Il s'agit du console.log que tu places dans le index.router "if (to.meta.requiresAuth && !store.state.user.token) ".
As tu une idée parce que je bloque dessus depuis 1h.
Merci ;)
Je te remercie, cependant je ne peux débugger ceci en commentaire
Salut, merci pour votre vidéo
Une question SVP : Pour la protection CSRF, c'est un faille qui touche juste les formulaires ? et si on utilise VueJS avec une authentification avec Token, est ce que on doit aussi inclure un header avec une vérification CSRF dans axios ou c'est pas la pêne par ce que déjà on vérifie que c'est la bonne personne qui envoie le formulaire grâce au Token ?
Merci d'avance
Je pense qu'il faut. Le middleware de Laravel n'autorise aucune requête POST si le token csrf n'est pas présent dans les entêtes. Il y a plusieurs façons de l'injecter :) je te laisse chercher sur Google ;)
@@LaravelJutsu Salut, mais le Middleware verifycsrftoken dans le service provider est juste pour les routes web et non pour les routes api!! ??
@@hacene4111 après un peu de recherche, lorsqu'on utilise le système d'authentification de Sanctum, etant donné qu'il utilise le système de cookie construit dans Laravel, pas de problème pour ces éventuelles failles web.
" Laravel's built-in cookie based session authentication services. This provides the benefits of CSRF protection, session authentication, as well as protects against leakage of the authentication credentials via XSS. "
@@LaravelJutsu oui si on utilise le système de protection sanctum par cookie on doit se protéger de la faille csrf on ajoutant dans le header de axios le token généré, mais si on utilise le sanctum par jetons comme dans la vidéo ici y'a pas de cookie de session alors pas la peine de se protéger de la faille à mon avis.
@@hacene4111 ah voilà j'ai trouvé pour la partie intéressante de la SPA : To authenticate your SPA, your SPA's "login" page should first make a request to the /sanctum/csrf-cookie endpoint to initialize CSRF protection for the application.
Et bien évidemment pas pour le token based :)