好的,所以我正在开发一个单页面应用程序,该应用程序从我也设计的后端API中获取数据。 当前的身份验证工作流程如下: 用户将包含用户名和密码的HTTP Post请求发送到服务器。 后端API会检查信息,并且如果字段有效,它将生成令牌。 SPA接收令牌并将其存储在本地存储中以备将来使用。 在API请求旁边,将在本地存储中使用令牌,并将与包含令牌的授权标头一起发送。 我的问题是: 1.这样安全吗?如果不是,为什么呢? 2.使用cookie代替本地存储更好吗?为什么呢? 谢谢您的时间。
答案 0 :(得分:1)
我认为,由于Secure(仅https)和HttpOnly(仅服务器访问)属性,使用cookie比localStorage更安全。此处对此方法进行了更好的描述:https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies#Restrict_access_to_cookies