[英]Angular.js app - api secruity
我们目前正在制作和角度应用程序。 所有信息都来自api。
我们不希望在客户端使用cookie等存储任何状态。因此,当用户刷新应用程序时,我们计划调用/account/details
如果登录将返回用户对象,而不是false。
问题是,我们使用的安全模型是我们在任何api请求的标头中设置一个auth-token
(从上面的/account/details
或成功/login
调用中作为用户对象的一部分返回)。
api检查标头中发送的此auth-token
与logged-in-users
表中的内容匹配,如果匹配则返回数据。
显然,问题是,在刷新时我们没有保存任何客户端,所以不要让这个auth-token
再发送。
api,因为它在同一个域上设置了一个php会话cookie。 我们认为这个account/details
来电我们能满足对会话cookie值logged-in-users
表。 然而,这对我们来说听起来很狡猾。 这样可以吗? 或者还有另一种更简单的方法可以克服鸡肉和鸡蛋的情况吗?
您可以考虑让应用程序使用sessionStorage
来存储身份验证令牌。 这具有您正在寻找的cookie的优点,但是由JavaScript维护,不会自动发送到服务器。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.