#30 feat(app): verify auth token

Jank1310 commented 9 months ago

@Flofie Wäre es nicht sinnvoll einen geheimen Token zu verwenden, damit nicht jeder nach belieben die Server-2-Server-Aktionen (Importer erstellen etc.) ausführen kann?

Flofie commented 9 months ago

@Jank1310 sorry ich kann dir nicht folgen. Was möchtest du hier haben?

Jank1310 commented 9 months ago

Mein Gedanke war:

Kein Token für Frontend -> Backend (können wir aber trotzdem beibehalten)
Token für kritische API Calls wie das Erstellen eines Importers. Das sollte nicht vom Frontend ausgeführt werden, sondern vom Backend der aufrufenden App -> Token notwendig

Mit der aktuellen Implementierung ist der Token für die kritischen Calls ja für jeden Sichtbar. Mein Vorschlag: zusätzlicher Token für Backend und Absicherung der kritischen Calls (Erstellen & Schließen eines Importers, Daten abrufen)

Flofie commented 9 months ago

Ok, aber zum testen werden wir den trotzdem erstmal im frontend haben - anders können wir ja die testimporter nicht anlegen.

Jank1310 commented 9 months ago

@Flofie If everything looks good you can merge the pr

Jank1310 / datadolphin

#30 feat(app): verify auth token #64