我正在创建一个连接到网站的应用,我不希望用户每次加载应用时都需要输入用户凭据。该网站返回会话cookie(没有设置到期日期)。我无限期地持有该cookie是否有任何问题?如果我只是在应用程序启动时重新加载它,它似乎可以工作。
谢谢!
答案 0 :(得分:3)
每个应用程序都有自己的cookie存储区。因此,如果cookie上没有过期,并且您没有删除它,并且该应用程序未被删除,那么只要您愿意就可以使用它。
编辑以下是一些有关更多观点和见解的链接:
我对此事的看法是,移动环境与桌面环境根本不同。 “退出”移动应用程序与退出桌面应用程序绝不相似。退出移动应用程序类似于在桌面上切换焦点。每次按下Cmd-Tab时都不会重新进行身份验证。
限制会话令牌的生命周期是一项有价值的安全预防措施,但是在服务器端而不是客户端上正确实现。如果服务器设计为允许会话无限期持续(因为桌面应用程序永远不会退出),那么没有理由不以类似的方式在移动平台上继续会话。
请注意,还有其他解决方案,例如将用户凭据存储在钥匙串中,以便您可以重复使用它们。这在许多情况下都是合适的,但它实际上是一种安全性较低的解决方案,而不是无限期地持久化会话令牌。如果您要永久保留身份验证凭据,最好是单用途令牌(即会话cookie),而不是多用途用户名和密码。
答案 1 :(得分:1)
没有问题你允许设置这个cookie,每个应用程序都有一个cookie商店,你可以从中检查cookie,但是我认为这只是一个会话cookie,您只需要允许它存在并让用户利用Web服务,直到用户退出为止。
我也使用了一些应用程序。
祝你好运。