通过在sessionstorage

Question

我通过使用AngularJs将用户数据存储在浏览器的sessionStorage中来处理会话。我使用的基本流程如下：

1. 按前端登录
2. 从节点返回用户，即后端
3. 在sessionStorage中存储返回的数据
4. 向服务器发送每个请求的用户ID
5. 退出时清除存储空间

我的方法是否正确？ 如果没有，那么我如何在MEAN应用程序中有效管理会话？

Answer 1

将关键数据作为令牌存储到LocalStorage或SessionStorage绝对不是一个好主意，因为它容易受到XSS攻击。

更好的做法是将这些信息存储在cookie中......但是，我们没有在这里完成，因为cookie容易受到CSRF攻击。

因此，最好的方法是将关键信息存储在cookie中，并通过在SessionStorage中存储随机生成的会话密钥来保护您的客户端免受CSRF的侵害。

检查这个答案： CSRF Token necessary when using Stateless(= Sessionless) Authentication?