我有一个安静的Web服务API,可以执行以下操作进行身份验证。
/ login使用用户名和密码生成并返回一个auth-key(如果你愿意,将返回API密钥)作为JSON。
以后的请求应该在头部进行身份验证或再次登录以获取身份验证密钥
现在,我打算使用java脚本和使用restful web服务api创建一个网站前端。问题是,为android或iphone应用程序密钥生成登录访问密钥是有效的,因为用户首次登录然后应用程序将缓存auth密钥以供将来的会话使用。现在我如何使用网站前端做到这一点?我应该将身份验证密钥存储在cookie中吗?如果是这样,是什么阻止其他用户访问我的网站发送缓存的cookie?这个授权密钥问题有更好的替代方案吗?请指出此设计中的任何安全漏洞。