我有一个API移动服务,可以处理用户的登录和验证。如果用户已经过验证,则会生成身份验证令牌。在我的最后,我有一个Web客户端接收该令牌并使用它来调用不同的Api控制器。我应该如何保持用户登录状态不变?
我可以将令牌存储在Cookie上吗?如果我这样做会被滥用吗?会议会更好吗?处理此问题的最佳方法是什么?对于noob问题很抱歉,但我之前从未做过这种类型的设置。
答案 0 :(得分:1)
令牌可以作为cookie相对安全地存储在客户端上。这里使用表单身份验证an example http://www.princesspolymath.com/princess_polymath/?p=396。通过要求SSL可以使其更加安全。
您还可以考虑使用HTML 5本地存储,如下所示: {{3}}
...这可能更有效率,因为您在进行需要它的AJAX调用时手动使用令牌,而不是在每个请求上发送cookie。