我必须在两个应用中分割用户体验:
用户将首先登录下载的应用程序(用户名/密码)。在某些时候,用户按下“继续”按钮以启动浏览器选项卡。我需要用户的会话在浏览器中保留,这样我就可以显示个性化内容而无需再次登录。
首先,应用程序通过调用登录用户 https://site.com/login?username=USER&password=PASS
...并且服务器生成一个唯一的会话令牌并回复...
{
"sessionToken": "SWORDFISH"
}
然后,当用户按下“继续”按钮时,应用程序会指示操作系统打开URL ...
https://site.com/page.html?sessionToken=SWORDFISH
使用足够长且分布均匀的会话令牌,这可以被认为是安全的吗?
当用户浏览site.com上的不同页面时,将会话令牌保留在URL中是不好的做法吗?