我已经在后端实现了SPA应用程序,并且通过角度很容易授权存储在浏览器localstorage中的令牌,但在前端我使用服务器来呈现html。
在go,在HTTP请求处理程序中,从服务器,我如何获取浏览器localstorage / sessionstorage来检索令牌,验证它并在响应中呈现允许的内容?
这是可能的还是我必须使用会话?
我想也许某种程度上http.client有某些我不明白的方式,这有助于完成这项工作?
修改 如果不可能,我发现了这个:http://www.gorillatoolkit.org/pkg/securecookie - 我尝试了googleing但我想绝对肯定这个hmac验证使这个解决方案至少和JSON Web令牌一样安全吗?
如果确实有人可以提出好的论据,为什么人们应该在会话中使用服务器资源,请与我分享(我不关心旧的浏览器btw - 只有性能和利用客户端只要可能,只要安全不受损害)
答案 0 :(得分:1)
有些人对你的问题进行了低估,所以也许它可以帮助你做好准备:
frontend,因此backend无法访问。您可以使用cookie(存储在客户端,但发送到服务器端,反之亦然) - 但这就是它的内容。 securecookie是一种在客户端存储cookie的方式,没有任何人能够改变/查看它们除了你自己 - 因为它是使用"秘密"加密的。只有你(应该)知道。