我正在创建一个具有登录页面的本地webapp。
我正在使用PhoneGap将应用程序设置为本地应用程序,我希望将某些用户数据存储在cookie或类似的内容中。
到目前为止,我一直在cookie中存储用户名和加密密码,这是非常不安全的,而且这样做会更好,更安全吗?
答案 0 :(得分:0)
为了回应更好的替代方案,我想指向Stormpath's Auth article和相关的StackOverflow question。 Stormpath文章有一些大名鼎鼎的选择,如果你不喜欢写这种代码(我喜欢它)。相关的问题有一个很好的答案我会偷走其他的例子。
我很乐意引用一些片段来澄清事情,但是有很多方法可以处理实施问题。基本流程如下:
客户端将凭据传递给服务器
服务器验证凭据
服务器生成令牌(UUID,随机字符串,无论如何)
服务器回复所请求的信息和令牌
客户端使用下一个请求发送令牌
服务器将令牌与经过身份验证的会话匹配
重复4-6直到会话过期(退出或超时)
我自己的实现通常会以不同方式继续以防止出现其他一些安全问题:
服务器不赞成请求使用的令牌
服务器生成新令牌
服务器回复所请求的信息和新令牌
重复步骤5-9,直到会话过期(退出或超时)