在web api身份验证之后将令牌存储在浏览器本地存储中是否安全

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了在web api身份验证之后将令牌存储在浏览器本地存储中是否安全相关的知识,希望对你有一定的参考价值。

我正在使用Asp.net Web API 2为后端构建angular js 1.X应用程序。在Web API 2中,我可以通过在令牌终点(ApplicationOAuthProvider)上发布我的凭据来轻松获取令牌。 现在因为角度JS是客户端,所以我需要在客户端一个位置来保存此令牌,以便我可以在所有后续HTTP调用中发送此令牌以验证客户端。 为此,我将我的令牌存储在浏览器的本地存储中。但我不是在这里存储令牌是安全的(客户端)。 任何有权访问我系统的人都可以轻松获取令牌,并在他的机器上使用它来登录系统。 如果有人有建议那么请指导我。谢谢

答案

这是Web应用程序中身份验证的基本挑战之一。简短的回答是,“这已经足够了。”

答案越长,您应该验证:

  1. 令牌足够长以防止暴力强制
  2. 令牌足够随机以防止猜测
  3. 通信始终通过TLS以防止拦截/嗅探

对于全面的最佳实践,您应该在OWASP网站上花一些时间。

以上是关于在web api身份验证之后将令牌存储在浏览器本地存储中是否安全的主要内容,如果未能解决你的问题,请参考以下文章

如何在 vue 中存储、管理 REST API JWT 身份验证令牌?

身份验证令牌、本地存储和流星

JWT 令牌基于仪表板应用程序的每个请求的身份验证

使用自定义用户数据库进行 Web API 令牌身份验证

如何在 Angular 应用程序中存储身份验证令牌

在 Angular 应用程序中存储身份验证令牌的替代方法