身份验证代币,本地存储和流星

Question

我们正在运行一个Web应用程序(闪亮服务器,其中编码在R中完成)并且想要为其添加身份验证层.而不是在R中构建一些东西,我想到使用meteor来创建auth令牌等等.这是我想的方式:

• 用户使用meteor和meteor登录会创建一个类似于下面的数据库条目:

    { "createdAt" : 1372521823708,
      "_id" : "HSdbPBuYy5wW6FBPL",
      "services" : { "password" : { "srp" : { "identity" : "vKpxEzXboBaQsWYyJ",
            "salt" : "KRt5HrziG6RDnWN8o",
            "verifier" : "8d4b6a5edd21ce710bd08c6affb6fec29a664fbf1f42823d5cb8cbd272cb9b2b3d5faa681948bc955353890f645b940ecdcc9376e88bc3dae77042d14901b5d22abd00d37a2022c32d925bbf839f65e4eb3a006354b918d5c8eadd2216cc2dbe0ce12e0ad90a383636a1327a91db72cf96cd4e672f68544eaea9591f6ed102e1" } },
        "resume" : { "loginTokens" : [ 
            { "token" : "t9Dxkp4ANsYKuAQav",
              "when" : 1372521823708 } ] } },
      "emails" : [ 
        { "address" : "example@example.com",
          "verified" : false } ] }

• 用户被重定向到"旧应用程序".在这里我们检查本地存储(如果我们使用相同的向外主机和端口,应该是与meteor相同的本地存储,对吗？)并找到以下信息:

    Meteor.loginToken: t9Dxkp4ANsYKuAQav
    Meteor.userId: HSdbPBuYy5wW6FBPL

• 本地存储数据由"其他应用程序"调查,它对meteor db执行简单的数据库查询,以验证本地存储信息是否与数据库中的信息匹配.也许还会检查某种到期日期.如果匹配,则应用程序呈现,否则不呈现.

这是一种非常安全的方式吗？是否可以在应用程序之间共享本地存储？

Answer 1

当然，您必须确保您的 WebSockets 通过 TLS 运行。LocalStorage使用简单的同源策略。所以是的，它会起作用。LocalStorage 与 cookie 一样安全，所以没关系。

总而言之：

是的，是的