Witam. Ostatnio stworzyłem skrypt w js do komunikacji z serwerem. Ma on za zadanie zmieniać liczbę monet, jednak aby go zabezpieczyć chciałem wykonać coś takiego:

-przeglądarka wysyła nową liczbę monet i obecne hasło,
-serwer sprawdza czy hasło jest poprawne,
-jeśli tak zapisuje nową wartość do bazy.

A pobieranie hasła odbywa sie tak:
-przeglądarka wysyła prośbę o hasło do serwera, przekazując przy tym poprzednie hasło (chyba że jest to dopiero początek sesji wtedy hasło jest puste),
-serwer przekazuje przeglądarce nowe hasło,
-przeglądarka zapisuje hasło do zmiennej.

I to pobranie następuje co 10 sec.

Skypt js:

[HTML] pobierz, plaintext 
setInterval(getPassword,10000); //Zmiana hasla co 10 sec
 
function getPassword (){
    if(login !== undefined){
    $.post (pageLink + "getSessionPassword.php", {lastPassword : localStorage.getItem("serverPassword")}, function (password){
        //console.log(localStorage.getItem("serverPassword"));
    if(password=="Error")
        console.error("Zle haslo");
    else
        localStorage.setItem("serverPassword", password);
        console.log(password);
        return 0;
    }
    );
    } else return -1;
}
[HTML] pobierz, plaintext 

Skrypt getSessionPassword.php:

[PHP] pobierz, plaintext 
<?php
 
session_start(void);
 
if($_POST["lastPassword"] == $_SESSION["sessionPassword"]){
        $_SESSION["sessionPassword"] = rand(11111111111, 999999999999999999999);
        echo $_SESSION["sessionPassword"];
}
else
    echo "Error";
 
?>
[PHP] pobierz, plaintext 

No i skrypt do zmiany ilości monet:

[HTML] pobierz, plaintext 
function TokenMinus (tokenNum)
{
    if (tokenNum > 0)
    {
    tokens -= tokenNum;
    $.post(pageLink + "setTokens.php", {newTokensNumber: tokens, connectPassword: localStorage.getItem("serverPassword")}, function (a){
        if(a == "Error")
            console.error("Bad server password");
        });
    document.getElementById("tokensNum").textContent = tokens;
    } 
    else 
        console.error("Bledna ilosc tokenów");
}	
[HTML] pobierz, plaintext 

I wszystko by było fajnie gdyby nie to że przez przeglądarkę można uruchomić konsole i wpisać coś takiego:

[HTML] pobierz, plaintext 
$.post(pageLink + "setTokens.php", {newTokensNumber: 1000000, connectPassword: localStorage.getItem("serverPassword")});
[HTML] pobierz, plaintext 

Dostęp do zmiennej serverPassword można uzyskać bez problemu. I tu pytanie czy można w jakiś sposób zabezpieczyć tą zmienną? Tak aby taką komendą nie udało się uzyskać do niej dostępu?

Z góry dzięki za pomoc.

Nie zabezpieczysz zmiennej w js w żaden niejawny sposób.

Moim zdaniem źle się do tego zabrałeś - nie możesz takich operacji wykonywać po stronie klienta, bo ten może dowolnie zmienić wartość.

Co chcesz uzyskać z tymi monetami? Może ci jakoś pomogę?

Chmm.. no to może inny język? Ważne żeby było po stronie clienta.

Z monetami to sprawa wygląda tak: mam grę w WEBGL i do komunikacji z nią używam js. Gra wywołuje funkcję TokenMinus która ma za zadanie odjąć tokeny i tym samym zapisać nową ilość do bazy danych. No i do komunikacji używam hasła jako jednego z argumentów. Nie mam pojęcia w jaki sposób to teraz kontynuować.