SPA的安全性足够且最简单的身份验证方式

时间:2015-04-23 08:23:24

标签: javascript authentication oauth oauth-2.0 single-page-application

我正在SPA中寻找一个良好的身份验证过程 我认为,炫化者所描述的过程in this question似乎很好,但是the article his answer中{{3}}所提出的那些thierry templier的过程似乎更复杂,因为它使用'mac_key','refresh_token'等等。
仅使用登录ID,密码和访问令牌进行身份验证还不够吗?我不打算让API启用跨源请求

1 个答案:

答案 0 :(得分:2)

是的,您只需更换用户名&访问令牌的密码。这是Resource Owner Password Credentials Grant。这确实是保护单页应用程序(SPA)的最简单方法。

我建议将JWT用作令牌格式,将HTTPS-Only cookie用作安全存储机制。我在最近的博客文章Token Based Authentication for Single Page Apps

中介绍了这些主题

免责声明:我在Stormpath工作。我们一直在使用SPA进行大量工作,我们在Stormpath Angular SDK

中提供了用于令牌身份验证的全栈JavaScript解决方案