Блог

Короче говоря, я только что несколько закончил создание приложения с помощью NextJS, NextAuth и SWR, я использую SWR для вызова нескольких API Twitch, для аутентификации API Twitch я использую идентификатор клиента приложений Twitch и токен носителя зарегистрированных пользователей, который берется из объекта сеанса NextAuth.

Меня беспокоит то, что всякий раз, когда SWR выполняет функцию и API для заполнения страницы данными или ее обновления, вы можете легко просматривать заголовки запросов при записи сетевых вызовов в инструментах разработки chrome или firefox . Это в основном связано с тем, что это производственная среда, и это все еще происходит, это также нарушает документацию разработчиков Twitch и почти наверняка «Предупреждение: Относитесь к своему токену как к паролю. Например, никогда не используйте маркеры доступа ни в одном общедоступном URL-адресе и никогда не отображайте маркеры на какой-либо веб-странице, не требуя щелчка для удаления путаницы.»

Есть ли способ или решение скрыть это?

Теперь мой следующий лучший вопрос: как я могу предотвратить это, и есть ли у них вообще способ?

Не нужно беспокоиться. Можно включить токены на предъявителя в заголовок запроса Authorization — на самом деле это стандартный способ их отправки. Вы не можете скрыть это от инструментов разработки Chrome, так как это противоречит его назначению.

Совет, который вы прочитали, никогда не используйте маркеры доступа в общедоступных URL-адресах, может означать, что никогда не отображайте их в URL, например mywebsite.com/?token=[abcd] , потому что тогда они будут доступны через историю браузера, или не отправляйте маркер, предназначенный для одной службы, в API другой службы.

Это не имеет ничего общего с SWR — это стандартное поведение HTTP.