- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在编写一个 Web 应用程序 - 前端使用 angularJS,后端使用 REST API 和 mongodb。由 Node.js 提供支持。
问题背景:
我知道我需要使用基于 token 的身份验证来验证我的用户,然后我需要让 token 可用于此后的每个新请求。我还需要能够保留用户 ID,以便稍后在数据库上进行事务处理。
该策略的主要问题是,这意味着在取回 token 后,我需要在登录后保留 token 和 ID,并且因为我正在构建 Web 前端,所以我将它们存储在 localStorage 中。
任何可能有恶意的用户都可以选择从该存储中转储数据,并在浏览器的开发工具中查看他们可以更改哪些值来获取其他人的数据!
这必须是可以解决的问题,我知道你们中的一些人过去已经解决过这个问题。那么在这种情况下我们该怎么办呢?
也许有一种方法可以更安全地做到这一点?或者也许我根本不需要存储它们?
最佳答案
Any user who might be malicious may choose to dump data from that store, and see what value they could change to get at other people's data, right in their browser's dev tools!
真的吗?您应该根据拥有访问 token 的用户来授权请求,因此,如果整个用户使用任何浏览器内调试工具并获取 token ,则该用户将只能执行 UI 上的操作。
另一方面,您不需要持有用户 ID。一旦整个用户在您的系统中获得授权,该用户 ID 就应该成为访问 token 的一部分,并且只有服务器应该能够使用它。
所谓的访问 token 可以作为加密字存储在 Web 浏览器 cookie 中,这比本地存储更好,因为 cookie 是作为任何 HTTP 请求的一部分发送的,无论是常规请求还是 AJAX 请求(即您每当您想要向 API 执行请求时,不需要手动包含 token ),并且在服务器授权过程中,您应该解密 token 并取回其信息(通常称为声明 em>)。
关于javascript - 网络应用程序 : What should I send back to the user?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32369614/
什么是 Web 服务(Rmi、ejb、soap)? Web服务和Web应用程序有什么区别?是否可以在 Web 应用程序中实现 Web 服务? 最佳答案 Web 服务是一种传输/公开信息的方式,使得可以
典型的 J2ee web 应用程序或任何基于 java 构建的 web 应用程序是多线程应用程序,所以每次我编写一些代码时我都必须牢记竞争条件或并发修改? 最佳答案 Is a typical J2ee
我正在将 google 登录集成到我的网络应用程序中。我按照 here 的说明进行操作。但我无法从登录中获取任何用户信息。不过,登录按钮工作得很好。 我使用这些 JavaScript 函数: i
关闭。这个问题需要更多 focused .它目前不接受答案。 想改进这个问题?更新问题,使其仅关注一个问题 editing this post . 4年前关闭。 Improve this questi
是否有通用 cookie 或其他方式可以检查用户是否登录到谷歌应用程序。然后,如果是这样,我想运行一些 js。如果我知道通常在 Google 应用程序/服务中使用的 cookie 的名称,我就可以读取
我正在尝试以 Web 应用程序样式展示我的记事卡。我不担心缓存或让它离线工作。 我只想让它在 iOS 浏览器中呈现良好。这是链接:http://kaninepete.com/flashcard/rev
我正在使用 bootstrap 制作响应式网络应用。 我开始在我的网站上使用导航栏和表单进行一些测试,问题是 android 中的导航栏,因为它以全宽度呈现(如桌面 View ),而 chrome(对
我正在尝试使用 http://zxing.appspot.com/scan从 WebApp 调用 Barcode Scanner,但我无法让它工作。即使在不必要地更新和重新安装之后,它所做的只是显示默
在 WebStorm 中运行 Dart Web 应用程序时,?底部的 Pane 报告以下内容(--port 因运行而异): /home/tom/dart-sdk/bin/pub serve web -
由于某些原因,我的网络应用程序的路径似乎有问题。 我在 Eclipse 中的 WEB-INF 路径如下: Project --src -- main --webapp
Apps 脚本最近已将 StackDriver 日志移至 Apps Script dashboard ,“执行”页面。 问题是,日志不会显示在 Apps 脚本 Web 应用程序的仪表板中。当我向 Ap
身份验证后,我将用户权限标识符放入用户 session 中。如何根据用户权限限制对网站某些部分的访问。现在我正在检查页面处理程序中的权限,但如何改进? 是否有任何现有的模板可以做到这一点?能举个例子吗
我打算用 GUI 前端编写一个网络应用程序,大概使用 GTK。 我对 GTK(以及一般的 GUI 编程)完全陌生。我目前的猜测是使用两个线程,一个处理网络,另一个运行 GTK 前端。 这是解决此类问题
我一直在办公室工作,我们有一些数据需要处理几次。我的意思是数百行,有时每行中有非常大的文本 block 。为我们的客户说出食谱,其中包含 ID、名称、类别、食谱本身、时间…… 问题是我们需要经常处理和
当谈到使用官方 web SDK 的 Firestore 缓存时,它是否优化了读取以便仅当文档在上次读取后发生更改时才向服务器“发送”读取请求? (因此每次尝试不会生成 1 次额外的文档读取) 为了详细
我开发了一个使用 Jquery 移动框架的移动网络应用程序...我的主页我添加了一个 div,其中包含一些关于谁浏览我的网站 android 设备的说明... Some instructi
我就是这么想的,不知道是不是我 react 慢了。 通常,我将正在编辑的项目的 ID 存储在隐藏字段中。然后在后端(顺便说一句,我正在使用 PHP/Zend Framework),我用它来确定要编辑的
我有一些应用创意想免费发布(带广告)。我是一名 Web 开发人员,目前不想学习 Java/Objective C。我可以轻松地将想法构建到 HTML 5 在线应用程序中。 有什么原因我不能使用 Pho
我正在编写一个网络套接字应用程序,我打算使用 Azure 网络应用程序将其托管在云上。 Web 套接字是使用相当标准的 Owin 中间件实现的,并且在前 100 秒内功能齐全。这段时间之后,webso
是否有任何协议(protocol)可用于在(现在可下载的)谷歌地图中打开地址?这不是 native 应用程序,只是 Safari 的网络应用程序/网站(网络剪辑)。 Google 是否提供任何此类协议
我是一名优秀的程序员,十分优秀!