保护Play的REST API

时间:2012-10-17 21:26:41

标签: backbone.js playframework playframework-2.0

我正在尝试将Play 2.xbackbone.js用于项目。我的目的是在服务器端创建RESTful API(所有响应主体都是JSON,所有请求主体也都是JSON)。

我想使用Facebook OAuth(服务器端)来验证我的请求。为此,我将play-authorize用于OAuth。我遇到的问题是用户会话信息存储在Play中的会话对象中。我真的不想在我的HTML代码中使用播放模板,如何在没有播放模板的情况下在客户端使用会话对象。

在使用Play时,我还可以使用哪些措施来防止CSRF / XSS攻击。

1 个答案:

答案 0 :(得分:0)

也许我误解了你的问题,但要注意Play是无国籍的。这意味着“会话”存储在一个发送到服务器的cookie中。您可以将字符串值存储到该cookie,并从浏览器访问它们。

现在,您不希望在那里存储关键值,而是服务器端代码识别的内容,让您可以使用它来解决您的问题。