我需要一些关于使用会话令牌对用户进行身份验证的建议。我正在构建一个AngularJS应用程序,该应用程序使用API与后端连接。我只是在构建前端,而不是后端。文档指出,所有对API的调用都在请求(POST(的主体中附加了一个会话令牌。
-
我想知道在localStorage中存储此令牌的安全性。这就是我现在存储它并检索它并将其附加到每个API请求的地方。登录后,服务器在主体中发送会话令牌,我从那里保存它。
-
没有关于x-access-token标头的文档,该标头应与向服务器发出的请求一起发送。服务器端没有对其进行检查。这意味着什么?我觉得如果没有这个额外的安全层,它很容易受到攻击。
我主要关心的是这个设置的安全性。我想知道最好的设置是什么,以确保这个应用程序尽可能安全,并建议更改后端的设置方式以促进这一点。
谢谢!
正如您所说,您只处理UI部分,而不是后端。这取决于后端团队,以确保标头得到正确评估并强制执行安全性(btw请求标头不属于请求主体(。只需按照他们的指示将令牌放入x-access-token标头即可。
将令牌存储在localStorage中可以让您对cookie有更多的控制:您不会意外地将其发送到不必要的URL。但是,较旧的浏览器不支持它——您可能需要使用填充程序。
在SPA的情况下,您可能会考虑根本不存储令牌:每次访问您的应用程序时都可以提取令牌,然后将其存储在angularjs中的服务中,但这取决于您的提取/登录操作是如何实现的(它总是交互式的吗,需要多长时间等(。
我建议使用$cookies而不是本地存储。由于本地存储不支持某些旧浏览器。我正在使用cookie在我的项目中存储令牌