Muj stavajici dojem z javascript sveta je takovy, ze se v nem pohybuje spousta matlaku.
Vcetne Vas?
Nezlobte se na me, ale zda se, ze chcete vzit navod, kteremu nerozumite, placnout ho do nejakeho projektu a po nas chcete, abychom vam rekli, jestli to bude bezpecne... Vesteckou kouli nahodou nemate?
V podstate jedina odpoved je, ze pokud tomu nerozumite, tak sance, ze tam bude bezpecnostni dira, je relativne velka... Jestli to pouzit bych se rozhodl na zaklade dulezitosti projektu. Pokud to bude nejakej webik, kam za tyden prijdete 3x vy a jednou vase manzelka, tak klidne jo. Jestli je to projekt, za ktery budete rucit a budou ho pouzivat cizi lide, kterym vasi neznalosti muze vzniknout skoda, tak bych to nepouzil a zacal bud studovat nebo najal nekoho, kdo tomu rozumi...
Hodne stesti...
Popravde, jako dloholety javista cumim na "moderni javascript" jako v jirikove videni.
A pri procitani dokumentace mam pocit, ze je na me namirena skryta kamera.
Treba me dojalo, ze uz JS umoznuje privatni atributy tridy, znackovanim hashtagem, privitejme JS v roce 1979. Akorat ze privatni metody jakoze nee. A ctu dal, babel podporuje privatni metody navzdory standardu sam o svy iniciative.
_O_M_G_
Pak se podivam na dokumentace frameworku, treba krucualni "State management pattern" (
https://next.vuex.vuejs.org/#what-is-a-state-management-pattern). Triada state-view-actions, what a sorcery! A kdyz to prejmenujeme na model-view-controller, privitame VUEX v roce 1978. O komedii options vs composition API ve Vue psal uz Cimrman ve sve tezi o prukopnicich slepych cest.
Tolik k memu dojmu, co na me JS svet zanechal, konec breceni, zpatky k otazce.
Kdyz potrebuju ve Spring Bootu bezpecny login, prilinkuju Spring Security, zvolim implementujici class a hotovo. Je to bezpecne, je to standard, me vubec nezajima, co se uvnitr deje. Potencialne nebezpecne kroky, jako je vypnuti CSRF se musi explicitne povolovat.
A muj dotaz v kostce zni, zda v JS SPA svete existuje obdobny standard, anebo se ocekava, ze si kazdy znovu vynalezne kolo a seznami se s CSFR a SQL injecty.
Popr, zda je vhodna cesta pouziti klasicky session login s JS threadem na hlidani timeoutu a kontrolou REST API callu s redirectem na loginpage.
Vzdyt tohle musela resit uz hromada lidi, uvitam jakekoliv hinty.