D
deek
Stammgast
- 368
Ich kann aber nur nochmal auf den Kommentar von keen hinweisen, dass zwar deine App so geschützt ist, aber jeder der die Adresse zu deinem Service kennt. (=jeder der die App hat) dort beliebig http Anfragen stellen kann. D.h. auch potentiell Daten anderer User abfragen kann wenn es keine serverseitige Sicherheit gibt.
Als Faustregel: clientseitiger Login ist ein Convenience Feature, kein Sicherheitsfeature. Sicherheit bekommst du nur durch serverseitige Authentifizierung.
Best Practice bei solch einem Vorgehen wäre eben serverseitig einen Login zu schaffen, der ein Token ausstellt mit dem die API angefragt werden kann. Die Daten sollten so abgelegt sein, dass der User identifiziert werden kann dem sie gehören. Und auch nur dieser User sollte sie lesen und schreiben können mit seinem Token. (Außer natürlich es ist eine kollaborative App)
Du hast natürlich Recht, dass du im ersten Schritt zum Ausprobieren unter der Familie vielleicht erstmal ohne auskommst, aber ich würde dir dringend raten dich damit zu beschäftigen bevor es zu spät ist.
Als Faustregel: clientseitiger Login ist ein Convenience Feature, kein Sicherheitsfeature. Sicherheit bekommst du nur durch serverseitige Authentifizierung.
Best Practice bei solch einem Vorgehen wäre eben serverseitig einen Login zu schaffen, der ein Token ausstellt mit dem die API angefragt werden kann. Die Daten sollten so abgelegt sein, dass der User identifiziert werden kann dem sie gehören. Und auch nur dieser User sollte sie lesen und schreiben können mit seinem Token. (Außer natürlich es ist eine kollaborative App)
Du hast natürlich Recht, dass du im ersten Schritt zum Ausprobieren unter der Familie vielleicht erstmal ohne auskommst, aber ich würde dir dringend raten dich damit zu beschäftigen bevor es zu spät ist.