Wis*_*erd 2 cookies uiwebview session-cookies ios
我正在创建一个连接到网站的应用程序,我不希望用户每次加载应用程序时都需要输入他们的用户凭据。网站返回会话 cookie(未设置到期日期)。我无限期地持有那个饼干有什么问题吗?如果我在应用程序启动时重新加载它,它似乎可以工作。
谢谢!
每个应用程序都有自己的 cookie 存储。所以如果cookie没有过期,你不删除它,应用也没有删除,那么你想用多久都没有问题。
编辑以下是更多意见和见解的一些链接:
我对此事的看法是,移动环境与桌面环境有着根本的不同。“退出”移动应用程序与退出桌面应用程序完全不同。退出移动应用程序类似于将焦点转移到桌面上。您不会期望每次按下 Cmd-Tab 时都重新进行身份验证。
限制会话令牌的寿命是一种有价值的安全预防措施,但在服务器端正确实施,而不是客户端。如果服务器被设计为允许会话无限期持续(因为桌面应用程序永远不会退出),那么没有理由不在移动平台上以类似的方式继续会话。
请注意,还有其他解决方案,例如将用户凭据存储在钥匙串中,以便您可以重复使用它们。这在许多情况下都是合适的,但实际上它是一种安全性低于无限期保留会话令牌的解决方案。如果您要永久保留身份验证凭证,最好是它是单一用途的令牌(即会话 cookie),而不是多用途的用户名和密码。