我正在建立一个基于Node.js的网站。
我遵循以确保API安全的方法如下:
上述方法是否足够好?请提出更好的方法。
我也看到有人使用本地护照进行身份验证。 本地护照如何帮助实现上述身份验证方式?
答案 0 :(得分:3)
由于许多原因,这不是一个好方法。例如:
在您的方法中,用户将无法同时从两个浏览器(Mobile + Desktop)登录。
通过XSS攻击窃取localStorage数据非常容易。如果你只使用服务器Cookie,那就更难了。
答案 1 :(得分:2)
使用Json Web Token(http://mypathtothe4.blogspot.in/2013/03/greedy-algorithm-example.html)会更好,而不是随机令牌。这将为您提供验证令牌有效的简单方法(令牌已签名并具有到期时间)。