会话存储安全
Session storage security
我正在为使用 JavaScript API 的网络应用程序使用解析后端。我目前有一个登录页面,该页面重定向到另一个网页,允许查看存储在后端的数据。
虽然我不再登录,但在登录后重定向到页面后,我想出了一个看起来像解决方案但我不太确定的方法。
我考虑过简单地使用登录页面,将用户名和密码存储在 sessionStorage 中,然后在新页面加载后,基本上使用这些凭据重新登录。但这似乎有些麻烦,而且我担心在会话存储中存储此类信息所涉及的安全隐患。
虽然我只是 web 开发的新手,但我听说过有人使用会话令牌,我不确定如何去做或者它是否是正确的方法。
在会话存储中保存用户名和密码是不安全的。有权访问设备的人可以读取 sessionStorage 并将其用于其他目的。 Parse 有自己的 API 使用指南,他们长期以来一直在考虑 API.
的安全性
因为您是一般的 Web 开发新手,我建议您阅读 security guidelines from parse and how to use parse in Javascript。
当用户登录时设置 Parse.User.current()。这是一个缓存对象,可以保存到本地存储。这不包含用户的用户名和密码,而是包含 sessionToken 和可能的其他信息。与 Parse API 通信时需要使用此缓存对象。请阅读 this part about the current user 以更好地了解其工作原理。
我正在为使用 JavaScript API 的网络应用程序使用解析后端。我目前有一个登录页面,该页面重定向到另一个网页,允许查看存储在后端的数据。
虽然我不再登录,但在登录后重定向到页面后,我想出了一个看起来像解决方案但我不太确定的方法。
我考虑过简单地使用登录页面,将用户名和密码存储在 sessionStorage 中,然后在新页面加载后,基本上使用这些凭据重新登录。但这似乎有些麻烦,而且我担心在会话存储中存储此类信息所涉及的安全隐患。
虽然我只是 web 开发的新手,但我听说过有人使用会话令牌,我不确定如何去做或者它是否是正确的方法。
在会话存储中保存用户名和密码是不安全的。有权访问设备的人可以读取 sessionStorage 并将其用于其他目的。 Parse 有自己的 API 使用指南,他们长期以来一直在考虑 API.
的安全性因为您是一般的 Web 开发新手,我建议您阅读 security guidelines from parse and how to use parse in Javascript。
当用户登录时设置 Parse.User.current()。这是一个缓存对象,可以保存到本地存储。这不包含用户的用户名和密码,而是包含 sessionToken 和可能的其他信息。与 Parse API 通信时需要使用此缓存对象。请阅读 this part about the current user 以更好地了解其工作原理。