在 PhoneGap 浏览器中存储用户数据
Stashing user data in PhoneGap Browser
我正在制作一个具有登录页面的本地网络应用程序。
我正在使用 PhoneGap 将应用程序本地化,我想将一些用户数据存储在 cookie 或类似的东西中。
到目前为止,我一直在 cookie 中存储用户名和加密密码,这是否非常不安全,有什么更好、更安全的方法来做到这一点?
为了用更好的替代方案做出回应,我想向您指出 Stormpath's Auth article and a related Whosebug question。如果您不喜欢编写此类代码(我喜欢它),Stormpath 文章有一些大牌选项,并且相关问题有很好的答案,其中包含我会偷走的示例。
我很想引用一些片段来澄清问题,但是有无数种方法可以处理实现。基本流程是这样的:
客户端将凭据传递给服务器
服务器验证凭据
服务器生成一个令牌(UUID、随机字符串等)
服务器回复请求的信息和令牌
客户端在下一个请求中发送令牌
服务器将令牌与经过身份验证的会话匹配
重复4-6直到会话过期(注销或超时)
我自己的实现通常以不同的方式继续以防止其他一些安全问题:
服务器弃用请求使用的令牌
服务器生成新令牌
服务器用请求的信息和新令牌回复
重复步骤 5-9 直到会话过期(注销或超时)
我正在制作一个具有登录页面的本地网络应用程序。
我正在使用 PhoneGap 将应用程序本地化,我想将一些用户数据存储在 cookie 或类似的东西中。
到目前为止,我一直在 cookie 中存储用户名和加密密码,这是否非常不安全,有什么更好、更安全的方法来做到这一点?
为了用更好的替代方案做出回应,我想向您指出 Stormpath's Auth article and a related Whosebug question。如果您不喜欢编写此类代码(我喜欢它),Stormpath 文章有一些大牌选项,并且相关问题有很好的答案,其中包含我会偷走的示例。
我很想引用一些片段来澄清问题,但是有无数种方法可以处理实现。基本流程是这样的:
客户端将凭据传递给服务器
服务器验证凭据
服务器生成一个令牌(UUID、随机字符串等)
服务器回复请求的信息和令牌
客户端在下一个请求中发送令牌
服务器将令牌与经过身份验证的会话匹配
重复4-6直到会话过期(注销或超时)
我自己的实现通常以不同的方式继续以防止其他一些安全问题:
服务器弃用请求使用的令牌
服务器生成新令牌
服务器用请求的信息和新令牌回复
重复步骤 5-9 直到会话过期(注销或超时)