Joh*_*ean 5 authentication persistence angularjs
我正在构建一个AngularJS应用程序,该应用程序与使用身份验证令牌对用户进行身份验证的API进行交互.一切似乎都运行良好,但我正在努力在请求之间正确地保持身份验证令牌.
目前,当用户使用正确的凭据登录时,authToken会返回一个,然后我将其设置为on $rootScope.authToken.我也在为将来的请求发送该身份验证令牌,但如果我重新加载重新加载,则F5的网页$rootScope会被清除,我必须再次进行身份验证.
我知道我可以将authToken存储在cookie中,但这是最安全的方式吗?我最好使用本地存储来存储令牌吗?如果使用本地存储,当用户重新启动浏览器时,是否会清除?我理想情况下登录要坚持几天.
小智 1
首先,我不确定您的格式authToken是什么,但localStorage不应用于任何敏感数据。localStorage只要您authToken通过某种形式的加密或随机数相对防篡改,使用效果就很好(并且在浏览器重新启动后仍然存在)。
本质上,您应该小心,因为该值对所有客户端用户都是“可见的”,所以应该假设可以修改或增加。
您是否考虑过撤销登录会话?例如,如果您想注销应用程序的所有活动会话,您会怎么做?由于authToken它存储在客户端,您可能需要向其添加一个可以在服务器端检查的时间戳(或其他一些唯一值)。
| 归档时间: |
|
| 查看次数: |
2414 次 |
| 最近记录: |