如何处理身份验证令牌
How to handle Authentication tokens
我有一个 API 处理用户登录和验证的移动服务。如果用户通过验证,则它会生成一个身份验证令牌。在我这边,我有一个 Web 客户端接收该令牌并使用它来调用不同的 Api 控制器。我应该如何保持用户登录状态不变?
我可以将令牌存储在 cookie 上吗?如果我这样做,它会受到滥用吗? session 会更好吗?处理此问题的最佳方法是什么?很抱歉这个菜鸟问题,但我以前从未做过这种类型的设置。
令牌可以作为cookie 相对安全地存储在客户端上。这是 an example 使用表单身份验证。它可以通过要求 SSL 变得更加安全。
您也可以考虑使用 HTML 5 本地存储,如下所示:
http://www.princesspolymath.com/princess_polymath/?p=396
...这样效率更高,因为您在进行需要令牌的 AJAX 调用时手动使用令牌,而不是在每次请求时都发送 cookie。
我有一个 API 处理用户登录和验证的移动服务。如果用户通过验证,则它会生成一个身份验证令牌。在我这边,我有一个 Web 客户端接收该令牌并使用它来调用不同的 Api 控制器。我应该如何保持用户登录状态不变?
我可以将令牌存储在 cookie 上吗?如果我这样做,它会受到滥用吗? session 会更好吗?处理此问题的最佳方法是什么?很抱歉这个菜鸟问题,但我以前从未做过这种类型的设置。
令牌可以作为cookie 相对安全地存储在客户端上。这是 an example 使用表单身份验证。它可以通过要求 SSL 变得更加安全。
您也可以考虑使用 HTML 5 本地存储,如下所示: http://www.princesspolymath.com/princess_polymath/?p=396
...这样效率更高,因为您在进行需要令牌的 AJAX 调用时手动使用令牌,而不是在每次请求时都发送 cookie。