gpt4 book ai didi

rest - 使用 REST API 进行适当的 session 管理

转载 作者:行者123 更新时间:2023-12-04 22:28:07 39 4
gpt4 key购买 nike

我已经完成了 RESTful API 的设计,其中我使用作为参数发送的 API token 来验证每个请求。
现在我想创建一个客户端界面,我想知道管理与每个 的 session 的正确安全方法是什么。浏览器 客户。

我想过一个流量来保持 服务器端无状态 :

  • Web 客户端使用用户名和密码登录
  • 服务器响应用户的 API token
  • 客户端将 token 存储为 cookie
  • 客户端将 token 作为参数与每个请求一起发送,正如 API 服务器所期望的

  • 但我觉得这里有些不对劲……这不是太脆弱了吗?
    让我们假设我正在使用 SSL,但仍然,
    那样 API token 不会很容易被盗吗?
    它甚至是一种正确的工作方式吗?

    最佳答案

    Store your tokens in cookies for web applications, because of the additional security they provide, and the simplicity of protecting against CSRF with modern web frameworks. HTML5 Web Storage is vulnerable to XSS, has a larger attack surface area, and can impact all application users on a successful attack.



    请引用以下链接:

    https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage

    关于rest - 使用 REST API 进行适当的 session 管理,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47330913/

    39 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com