我正在使用AngularJS将用户数据存储在浏览器的会话中来处理会话。我使用的基本流量如下:
- 前端登录
- 从节点返回用户,即后端
- 将返回的数据存储在SessionStorage
- 将用户的ID发送给服务器
- 签署时清除存储
我的方法正确吗?如果不是这样,我该如何在平均应用程序中有效地管理会话?
将关键数据存储在localstorage或sessionstorage中绝对不是一个好主意,因为它容易受到XSS攻击的影响。
更好的做法是将这些信息存储在cookie中...但是,我们在这里没有完成,因为cookie容易受到CSRF攻击的影响。
因此,最好的方法是将关键信息存储在cookie中,并通过存储随机生成的会话密钥来保护客户免受CSRF的保护。
检查此答案:使用无状态(= session noss(身份验证时,CSRF令牌需要吗?