До этого момента мы работали с публичными API, где сервер не спрашивает, кто мы такие. Реальные сервисы так не работают: серверу нужно знать, от чьего имени запрос, чтобы вернуть именно ваши заказы, ваши сообщения, ваши настройки. И только вам.
Четыре главы модуля:
- 7.1 — почему вообще нужна авторизация, и почему серверу приходится спрашивать каждый раз;
- 7.2 — API key: самая простая схема;
- 7.3 — Bearer-токены и JWT: что они такое и что с ними делать;
- 7.4 — куки vs токены в localStorage: где хранить и как не подставиться под XSS/CSRF.
После этого модуля вы сможете подключаться к любому защищённому API, понимая, что значит каждый из распространённых вариантов авторизации, и не делая типичных ошибок «токен в URL» и «токен в localStorage без оглядки».
