我正在努力掌握使用JavaScript和CouchDB实现用户登录/注销的最佳方式的概念。
我习惯使用服务器端代码创建用户登录/注销控制,该代码创建存储用户信息的会话,然后自动在安全页面上运行代码以“锁定”未经授权的用户。
当然,客户端代码无法进行相同的设置。我已经阅读了很多关于不同“概念”的内容 - 无论是HTTP Basic Auth,Cookie身份验证,还是OAuth,Persona或OpenID等第三方提供商。
想象一下 - 我的用户在他的浏览器中加载登录表单(当然是HTTPS)>他在表格中输入他的证书并提交>然后javascript使用REST调用验证凭证与存储在CouchDB中的凭证>登录成功>在这里,它为我赢得了模糊......
通常我会将用户信息存储在会话var中,服务器将处理auth。使用JavaScript,我必须使用cookie吗?显然我不会在cookie中存储用户名和密码,特别是不是以明文形式存储,我是否必须生成令牌,散列令牌并将其存储在cookie和数据库中?然后在每个“安全”的页面上,我必须有一个脚本来检查该cookie /令牌吗?当用户注销然后删除cookie和令牌?
如果我正确理解这一点,请告诉我,有没有更好的方法来解决这个问题?我可以使用CouchDB实现某种安全性吗?我讨厌在cookie中存储任何东西,但也许这是JavaScript的唯一方法?感谢!!!!!