我几乎没有想法,我不确定我是否正确以及我的方法是否正确。 情况是我得到了一些暴露REST(当然是无状态)接口的后端服务器,并期望通过其头部使用HTTP身份验证。然后我有一些它的客户端,其中一个是Web服务器,它已经加载了由典型的Web浏览器访问的Web应用程序(使用SSL)。用户通过Web浏览器输入他的凭据(用户名和密码),这些凭据被发送到Web服务器,这就是我要问的问题。 Web服务器将所有请求委托给后端服务器(REST),将这些凭据放入HTTP头。在Web服务器和浏览器之间的HTTP会话中存储这些凭据是否安全?如果没有,否则在哪里存储它们?
感谢: - )
答案 0 :(得分:0)
只要您在会话结束时使用session.abandon(应用程序退出或关闭),您的所有数据都应该在理论上是安全的。 确保在应用程序关闭或用户空闲时间过长时关闭会话。 我通常不会超过20分钟。通过HTTPS甚至更少。