[英]Angular.js app - api secruity
我們目前正在制作和角度應用程序。 所有信息都來自api。
我們不希望在客戶端使用cookie等存儲任何狀態。因此,當用戶刷新應用程序時,我們計划調用/account/details
如果登錄將返回用戶對象,而不是false。
問題是,我們使用的安全模型是我們在任何api請求的標頭中設置一個auth-token
(從上面的/account/details
或成功/login
調用中作為用戶對象的一部分返回)。
api檢查標頭中發送的此auth-token
與logged-in-users
表中的內容匹配,如果匹配則返回數據。
顯然,問題是,在刷新時我們沒有保存任何客戶端,所以不要讓這個auth-token
再發送。
api,因為它在同一個域上設置了一個php會話cookie。 我們認為這個account/details
來電我們能滿足對會話cookie值logged-in-users
表。 然而,這對我們來說聽起來很狡猾。 這樣可以嗎? 或者還有另一種更簡單的方法可以克服雞肉和雞蛋的情況嗎?
您可以考慮讓應用程序使用sessionStorage
來存儲身份驗證令牌。 這具有您正在尋找的cookie的優點,但是由JavaScript維護,不會自動發送到服務器。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.