嗨,目前我正在使用devise_token_auth gem gem for SPA(单页应用程序)。我在前端使用React-redux,在后端使用rails。验证将通过在每个请求上向服务器发送令牌来完成。直到这一切都顺利进行:
问题陈述:
令牌必须存储在浏览器中,这使我的应用程序易受攻击
解决方案:
在每个请求上更改令牌。足够好!!!
问题陈述:
但要接收新令牌,我必须发送用户email-id和密码。这意味着这两个字段必须存储在浏览器中的某个位置。将用户密码存储在浏览器中是一种好习惯吗?
或者有更好的方法来做这个......任何想法???
答案 0 :(得分:2)
首先,您不必担心收到新令牌。每次验证后,<script src="https://ajax.googleapis.com/ajax/libs/jquery/2.1.1/jquery.min.js"></script>
<html>
<head></head>
<body>
<div class="para">
<ins>A computer is a</ins> popular <del>new</del><ins> device </ins>
</div>
<div class="para">
<ins>Stored programs</ins><del>required the re-wiring and re-structuring of the machine.</del>
</div>
<div class="para">
<ins>Integrated </ins>new<del>circuits</del><ins>System </ins>
</div>
</body>
</html>会自动为您提供一个新令牌。See the documentation devise_auth_token token management
例如:如果您使用此API进行令牌验证devise_token_auth,则必须发送/validate_token。成功验证令牌后,您将在标头中收到新令牌,否则会收到错误消息。