我在看https://github.com/jamesward/play-rest-security。
它的作用是,在用户成功通过身份验证后,将生成一个cookie。然后,javascript方将通过阅读document.cookie
来检查此Cookie是否存在(仅在没有httpOnly的情况下)。之后,客户端将读取令牌并将其分配给window.token
。此标记用于验证对AJAX调用的请求(在进行AJAX调用时附加到标头)。
所以,我的问题是,是否只有普通用户才有可能。要通过控制台上的document.cookie
读取此cookie,然后使用它来对服务器进行AJAX调用吗?
在非单页应用程序中实现它是否安全?