好的,我有一个用node.js编写的API,我试图添加会话功能。 API是完整的RESTful。当用户登录时,我将带有GET ajax调用的user / pass组合发送到/ login端点。然后,服务器将密码加密,并将其与存储在我的mongo db中的哈希值进行比较。然后,它将根据登录的成功情况以真或假的方式响应。
我想要实现的是:当用户输入有效登录时,服务器会生成会话密钥。该密钥存储在用户文档中的mongo中。然后使用GET请求返回此会话密钥。然后,此会话密钥将包含在所有未来请求的JSON正文中,以允许用户访问其帐户信息。
我的问题:将此会话密钥存储在浏览器的localStorage或sessionStorage中是否安全?这会打开用户的任何漏洞吗?