我很好奇最好的方法是什么?#34;记住我"功能是为REST API编写客户端时。
我负责浏览器客户端(在angularjs中完成)以及服务器。
我发生的一件事是将身份验证令牌存储在cookie中,并且只需让angularjs在应用程序启动时拉出它们并尝试使用它们进行身份验证。我不确定这是否会被认为是不安全或只是一个坏主意...
对此的任何提示都将非常感激。我非常难过。
答案 0 :(得分:1)
我个人没有记得我使用REST,但我目前正在使用cookie来验证REST调用。基本上,cookie存储我传递给服务器的哈希用户名/密码。
我认为没有理由为什么不能使用相同的cookie来实现某种记忆我的功能。您只需确保使用HTTPS连接来创建cookie并使用安全cookie。实现某种控制系统,其中使用remember-me进行身份验证的用户在尝试执行更改密码等操作时必须使用完整的用户名/密码重新进行身份验证,这也有助于加强安全性。
答案 1 :(得分:0)
你可以只有一个存储在cookie中的加密用户名和密码,并且可以拥有一个接收这些值的资源并验证它们是否具有有效凭据,而且cookie应该有一段时间,之后它们也会过期你也可以具有此资源返回的不同状态,如logged_in,已识别等,您可以根据您的要求使用这些状态。