Ho un sito web (https) che ha abilitato l'abilitazione di base per /token sottodir
Ho websocket che passa attraverso Nginx per diventare wss
Voglio creare una api bidirezionale sul websocket in modo che gli utenti finali possano vedere l'accesso a tutto, ma l'accesso in scrittura richiede un token ottenuto tramite una richiesta AJAX a /token che è protetto da password tramite l'autenticazione di base tramite Nginx.
- lato client non dovrebbe richiedere la password a meno che non venga effettuato un comando che richiede l'accesso in scrittura
- sullo script di scrittura lato client lo script controlla il token memorizzato localmente e ne richiede uno o ne invia uno al server nella chiamata api di accesso in scrittura
- se il codice lato client è compromesso, sarà comunque richiesto un token protetto da
/token
Per quanto posso dire, sembra sicuro ... mi sto perdendo qualcosa?