我设计了一个简单的HTML/CSS和JS/jQuery应用程序,现在是认证集成的时刻。在服务器端,我完成了一个允许客户端获取一些数据的REST API。但是,现在我想用访问和/或会话令牌来验证每个请求。如何在JS和PHP API之间设置会话令牌?
我读了很多网站来找到协议或建议,以建立客户端(JS)和REST API(PHP)之间的安全性,但不幸的是我没有发现任何东西或不感兴趣。 所以我问你见识一下(如果你想)知道该怎么做,来实现什么,公约等
我读什么:
Designing a Secure REST (Web) API without OAuth
Token Based Authentication for Single Page Apps (SPAs)
我不能发布更多的链接根据我的声誉...
只是给我的建议,方法如何存储私人令牌(RSA)或访问/会话令牌的API。
不要犹豫,给你的反应,并告诉我,如果我不是确切的或别的东西。
我刚刚阅读这篇文章(http://www.jonathan-petitcolas.com/2014/11/27/creating-json-web-token-in-javascript.html)和jwt.io文档,但是我不明白如何在客户端拥有密钥。由客户端生成(我假设不)?它是如何产生的?我承认这部分吸引我,关键的秘密对我来说很模糊。 –
这里完整解释有点复杂。您将JWT本地存储在localStorage中,用户可以确定这一点,但这样做不会给用户带来额外的价值。 JWT被编码(默认情况下HMAC SHA256),所以不知道'秘密',另一个用户以某种方式设法从用户localStorage获得JWT(我相信目前还没有任何已知的攻击)无法构建并发送虚假请求。 –