会话存储安全

Question

我为使用JavaScript API的我的网络应用程序使用了解析后端。我目前有一个登录页面，该页面重定向到另一个网页，允许查看存储在后端的数据。

一旦我登录后重定向到页面，虽然我不再登录，但我已经想出了什么样的解决方案，但我不太确定。

我已经考虑过简单地使用登录页面，在sessionStorage中存储用户名和密码，然后一旦新页面加载，基本上重新登录这些凭据。这似乎有点麻烦，但我担心在会话存储中存储此类信息时涉及的安全隐患。

我读过使用会话令牌的人，虽然我只是对web开发不熟悉，但我不确定如何去解决这个问题，或者如果这是正确的方法。

Answer 1

在sessionstorage中保存用户名和密码是绝对安全的。 sessionStorage可以被有权访问设备的人读取并用于其他目的。 Parse拥有自己的使用API​​的指导方针，他们一直在思考他们的API的安全性。

因为你是新的，一般的Web开发，我建议你将解析以及如何使用parse in Javascript阅读security guidelines。

当用户登录时，设置了Parse.User.current()。这是一个缓存对象，可以保存到本地存储。这不包含用户的用户名和密码，而是包含sessionToken和其他信息。与Parse API进行通信时，需要使用此缓存对象。请阅读this part about the current user以更好地了解其工作原理。