Tengo un sitio web (https) que tiene habilitada la autenticación básica para /token subdir
Tengo websocket ws pasando por Nginx para convertirme en wss
Quiero crear una api bidireccional en el websocket para que los usuarios finales puedan acceder a todo, pero el acceso de escritura requiere un token obtenido a través de una solicitud AJAX a /token , que está protegido por contraseña a través de autenticación básica a través de Nginx.
- el lado del cliente no debe solicitar una contraseña a menos que se realice un comando que requiera acceso de escritura
- en el script de acceso de escritura del lado del cliente buscará el token almacenado localmente y solicitará uno o enviará uno existente al servidor en la llamada de la API de acceso de escritura
- si el código del lado del cliente se ve comprometido, aún sería necesario un token protegido con contraseña de
/token
Por lo que puedo decir, esto parece seguro ... ¿me estoy perdiendo algo?