我有一个前端HTML网站,它向在线托管的WebApp发布请求。这些html页面在任何机器上本地运行。因此,他们正在提出跨站点请求。来自跨站点的会话和cookie
我正在考虑在发送到我的WebApp的每个请求中保存cookie并验证这些cookie。这是最好的方式吗?另外,当用户从1页到另一页之间来回移动(并且需要他登录时),我是否会在页面开始时从HTML中发送一个请求,并将其重定向到他如果他的cookie无效,相应地登录页面?
在此先感谢,
你打算去的方式似乎没问题。当然,你将不得不考虑如何保存你的访问令牌。我将使用访问令牌,并在其中编码IP,用户名和会话过期日期。
但是,只检查页面加载不会是最好的主意,因为检查结果可能被欺骗。您应该在每次请求信息时发送此访问令牌,以便您的Web应用程序可以决定是否回复信息。
啊哈。通过IP/username/sessionexp编码,你的意思是我创建的cookie值,应该是这3个值的加密吗? – Nisho
是的,您可以检查服务器旁边的用户是否仍然有权访问该页面。这个ip可以确保用户只能从他登录的ip请求数据(计数器中间人攻击会'窃取'访问令牌以获取对该页面的访问权限,除非攻击者在相同的网络),您自己处理哪些数据的用户名以及额外安全措施的会话到期时间。 (给攻击者更少的时间使用被盗的访问令牌)。完全保护非常困难,但这是启动和阻止大多数攻击者的好方法。 –
我认为这个问题可能更适合http://security.stackexchange.com/,因为如果我理解正确,您不需要编码部分,但会涉及安全问题。 –