在web api身份验证之后将令牌存储在浏览器本地存储中是否安全
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了在web api身份验证之后将令牌存储在浏览器本地存储中是否安全相关的知识,希望对你有一定的参考价值。
我正在使用Asp.net Web API 2为后端构建angular js 1.X应用程序。在Web API 2中,我可以通过在令牌终点(ApplicationOAuthProvider)上发布我的凭据来轻松获取令牌。 现在因为角度JS是客户端,所以我需要在客户端一个位置来保存此令牌,以便我可以在所有后续HTTP调用中发送此令牌以验证客户端。 为此,我将我的令牌存储在浏览器的本地存储中。但我不是在这里存储令牌是安全的(客户端)。 任何有权访问我系统的人都可以轻松获取令牌,并在他的机器上使用它来登录系统。 如果有人有建议那么请指导我。谢谢
答案
这是Web应用程序中身份验证的基本挑战之一。简短的回答是,“这已经足够了。”
答案越长,您应该验证:
- 令牌足够长以防止暴力强制
- 令牌足够随机以防止猜测
- 通信始终通过TLS以防止拦截/嗅探
对于全面的最佳实践,您应该在OWASP网站上花一些时间。
以上是关于在web api身份验证之后将令牌存储在浏览器本地存储中是否安全的主要内容,如果未能解决你的问题,请参考以下文章