tom*_*mmm 6 javascript security authentication api rest
我已经彻底研究了这个,但我还没有找到一个可靠的答案或任何标准的程序.
我的API实现了HMAC身份验证,我站点的每个成员都有一个公钥/密钥来验证他们对API的使用并签署他们的请求.
在移动应用程序上,服务器将通过加密连接发送公钥/密钥,以在成功登录请求后存储在设备上.后续请求将使用这些密钥进行签名.
那么在这种情况下我应该在哪里将密钥存储在客户端上,考虑到知道如何使用Web检查器的任何人都可以看到源代码?实际上,如果经过身份验证的用户看到自己的密钥,则不会出现问题,因为他们不太可能分享他们,就像他们不太可能与其他任何人分享他们的帐户用户名/密码一样.
将公钥/密钥存储在cookie中,并使用javascript检索 - 可能不太安全,可以在用户注销/会话结束时可靠地清除cookie吗?
将公钥/密钥存储在网页本身 - 只有我能想到的真正的解决方案--Javascript可以通过DOM访问密钥,只有当用户离开他们的账户时才会被泄露(见),有人知道在哪里寻找它们.
注意:Web应用程序不是单页应用程序,因此不能在内存中存储公钥/密钥.
不确定我是否在正确的轨道上(有些东西告诉我,我不是),希望有人可以让我直截了当.
谢谢
| 归档时间: |
|
| 查看次数: |
1718 次 |
| 最近记录: |