在AngularJS中保留身份验证令牌
发布时间:2020-12-17 18:07:56 所属栏目:安全 来源:网络整理
导读:我正在构建一个AngularJS应用程序,该应用程序与使用身份验证令牌对用户进行身份验证的API进行交互.一切似乎都运行良好,但我正在努力在请求之间正确地保持身份验证令牌. 目前,当用户使用正确的凭据登录时,将返回authToken,并且我将其设置为$rootScope.authTok
|
我正在构建一个AngularJS应用程序,该应用程序与使用身份验证令牌对用户进行身份验证的API进行交互.一切似乎都运行良好,但我正在努力在请求之间正确地保持身份验证令牌.
目前,当用户使用正确的凭据登录时,将返回authToken,并且我将其设置为$rootScope.authToken.我也在为将来的请求发送该身份验证令牌,但是如果我重新加载重新加载网页,请使用F5 $rootScope清除,我必须再次进行身份验证. 我知道我可以将authToken存储在cookie中,但这是最安全的方式吗?我最好使用本地存储来存储令牌吗?如果使用本地存储,当用户重新启动浏览器时,是否会清除?我理想情况下登录要坚持几天. 解决方法
首先,我不确定你的authToken的格式是什么,但localStorage不应该用于任何敏感数据.只要您的authToken通过某种形式的加密或随机数进行相对防篡改,使用localStorage就可以很好地工作(并且可以保持浏览器重启).
从本质上讲,您应该小心,因为值对所有客户端用户都是“可见的”,所以应该假设可以修改或增加. 您是否考虑过撤销登录会话?例如,如果要注销应用程序的所有活动会话,您将如何执行此操作?由于authToken存储在客户端,因此您可能需要向服务器端添加时间戳(或其他一些唯一值). (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |