[英]converting jwt to using Cookie(sessionid+csrf Token) on android app
我的应用程序要求只有一个帐户可以使用它。 所以,我的团队决定使用 session 和Cookie ,因为他们可以控制访问。 因此,Cookie 具有 sessionid 和 csrf Token。
据我所知,Cookie是给浏览器的。 我不知道这是否是 Native Application 的好策略。 而且我不知道原生应用是否需要csrf Token。 而且,Cookie 似乎不如 JWT 安全。
我从 Headers(Set-Cookie) 获取 Cookie 内容,并将其发送到 Cookie Header & X-CSRFToken Header。
你能描述一下优缺点,以及你对这种迁移的看法吗?
从移动应用程序的角度来看,使用 cookies 和 session ID 与使用不透明访问令牌没有太大区别。 对于移动应用程序,它只是一个字符串,您需要从一个地方(响应正文/标头等)获取,并将其放在另一个地方( Authorization header 或Cookie标头)。 cookies 的所有安全功能都是由浏览器实现的,因此您无论如何都不会使用它们。
至于 CSRF 令牌,您必须记住 API 无法知道发出请求的是移动应用程序还是浏览器。 由于您将使用 cookies,因此建议您也进行适当的 CSRF 保护。
如何使用 JWT 令牌发送 HTTP 请求以从 android 中的 cookie 存储进行身份验证
[英]How to send HTTP request using JWT token for authentication from cookie storage in android
缺少带有 SAP Netweaver 网关的 CSRF 令牌 Android 应用程序
[英]Missing CSRF Token Android App with SAP Netweaver Gateway
什么应该是android应用程序的cakephp JWT身份验证令牌的价值?
[英]What should be the value of token for cakephp JWT authentication from android app?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
