Aks*_*K T 5 service-worker progressive-web-apps
我正在尝试将Drupal 8网站转换为渐进式Web应用程序。我已经使用Service Worker缓存了用户访问的所有页面。是否可以缓存用户登录信息,以便用户离线时可以从登录页面开始使用Web应用程序?
无论采用哪种方式实施,都将始终存在安全风险。
话虽如此,类似于本机应用程序,虽然出于明显的安全原因不能缓存登录服务,但是可以保持用户的登录状态。这意味着,如果他们未登录,则他们将无法登录,但是如果他们具有已在先前连接时登录过,那么您可以让他们保持登录状态。
如果应用程序脱机工作,并且我们需要身份验证,则可能会导致有人持有该设备。由于网络上没有流量,因此可以最大程度地减少攻击面,并且无需担心MitM攻击或通过嗅探获得身份验证cookie的人。
我认为这将有助于了解您离线时进行身份验证的确切用途。如果我们谈论的是运输车(或不同的用户旅程),我建议您存储某种形式的加密令牌(基于用户ID +盐),该令牌将用于识别用户。这些将在成功登录后连接到Internet时添加,并用于区分当前正在访问该站点的用户。
如果您需要身份验证才能访问某些机密数据,那么我建议您需要连接才能查看该数据,以使机密数据永远不会存储在设备上。如果将其存储在本地,则存在与您进行的身份验证无关的安全风险。
| 归档时间: |
|
| 查看次数: |
2685 次 |
| 最近记录: |