类似Instapaper的书签的安全性

Question

我正在尝试创建一个类似于Instapaper所做的书签。我需要书签来发送用户正在访问的页面的URL和用户的令牌（因此服务器识别用户）。如何才能做到这一点？您是否建议我发送POST请求，或者通过路由URL（例如http://example.com/USER_TOKEN/URL）？

另外，我是否需要担心用户的令牌被盗？如果是这样，我该如何处理？

Answer 1

  

我是否需要担心用户的令牌被盗

由于您通过普通HTTP传输的所有内容基本上都是未加密的纯文本，是的，您需要担心令牌被盗。

更重要的是，将用户令牌包含在您的书签中似乎相当糟糕：

1. 如果多个用户A，B和C使用某台计算机怎么办？
2. 用户A和B都在使用您的服务？单独的书签？
3. 用户C很生气A做了什么 - 在十几个色情网站点击他的书签确实听起来很有趣，是吗？

我建议的内容如下：

• 将网址提交给GET（if you care about performance much）或POST（if you care about getting CRUD right）路线。
• 服务器端：检查用户会话是否存在（显然是通过cookie）。
  • 如果是，请处理您的数据，将成功回调发送为JSONP。
  • 如果没有，请将故障回调发送为JSONP，触发“请登录”弹出/覆盖。

为“请登录”提供额外的积分，记住用户一直试图保存的URL，这样他就不必在登录后重新提交。