0
当我加载一个用户登录页面(并且没有角色)时,客户端发送一个包含cookie的请求。 Cookie对用户进行身份验证,并且服务器可以发送包含识别用户敏感信息的页面。Persona的Observer JavaScript API是否损坏?
使用假面与观察者API我发送的页面告诉假面谁的服务器认为是在登录时嵌入与loggedInUser。如果假面并不认为
潜在的问题就会使与loggedInUser是服务器认为它是谁。在这种情况下,我们会得到一个“onLogout”或“onLogin”回调。
如果我们打算采取假面的意见严重的安全方法来进行是:
- 发送请求
- 发送页面,而不敏感信息
- 如果假面上同意与loggedInUser发敏感信息,否则登录或注销
这是低效的,因为它需要两次往返页面以及复杂的Web应用程序。
从Persona文档中很难弄清楚一个人打算做什么。最简单的是忽略Persona关于谁登录的理论。但是为什么这么复杂的API呢?
我几乎可以肯定地错过了一些东西,但是这在我上面列出的时候看起来很糟糕。