SPA 的足够安全和最简单的身份验证方法
The secure enough and simplest way of authentication for SPA
我正在寻找 SPA 中的良好身份验证过程。
我认为 dewastator 描述的过程 seems good but the process of the article what thierry templier presentes in 似乎更复杂,因为它使用 'mac_key'、'refresh_token' 等等。
仅使用登录 ID、密码和访问令牌进行身份验证还不够吗?我不打算让 API 启用跨源请求
是的,您可以简单地用用户名和密码交换访问令牌。这是Resource Owner Password Credentials Grant。这确实是保护单页应用程序 (SPA) 的最简单方法。
我建议使用 JWT 作为令牌格式,使用 HTTPS-Only cookie 作为安全存储机制。我在最近的博客文章 Token Based Authentication for Single Page Apps
中介绍了这些主题
免责声明:我在 Stormpath. We've been doing a lot of work with SPAs, and we have a full-stack javascript solution for token authentication in our Stormpath Angular SDK
工作
我正在寻找 SPA 中的良好身份验证过程。
我认为 dewastator 描述的过程
仅使用登录 ID、密码和访问令牌进行身份验证还不够吗?我不打算让 API 启用跨源请求
是的,您可以简单地用用户名和密码交换访问令牌。这是Resource Owner Password Credentials Grant。这确实是保护单页应用程序 (SPA) 的最简单方法。
我建议使用 JWT 作为令牌格式,使用 HTTPS-Only cookie 作为安全存储机制。我在最近的博客文章 Token Based Authentication for Single Page Apps
中介绍了这些主题免责声明:我在 Stormpath. We've been doing a lot of work with SPAs, and we have a full-stack javascript solution for token authentication in our Stormpath Angular SDK
工作