我在java(服务器)中实现了json web服务,客户端是纯javascript。可以通过javascript验证Web服务调用吗? 我知道双方都使用私钥是标准的,但javascript是公开的,所以这不是很安全:)
我已经检查了这个:Authorization and Authentication to REST API from JavaScript Client 并在互联网上阅读大量信息,但似乎无法通过javascript进行身份验证(代码可见)
非常感谢!
答案 0 :(得分:0)
是的,你可以,但有一些事情需要注意。一旦您的JS应用程序的用户通过身份验证,您就可以将它们存储在本地存储中。然后您可以在请求中使用它们。小心可能的XSS攻击。
以下是一些可以帮助您的链接:
希望它可以帮到你, 亨利
答案 1 :(得分:0)
正如您所提到的,在浏览器中存储机密凭据是一个坏主意(由于XSS漏洞)。 HTTPS-Only cookie是在客户端上存储身份验证令牌的最安全方式(最小化XSS攻击),但您也需要设置CSRF预防策略。
这是我写的一篇文章,更深入地讨论了细节:
Token Based Authentication for Single Page Apps
免责声明:我在Stormpath
工作