我正在构建一个带有API后端的Angular应用程序。在多条建议的组合下,我构建了带有令牌认证风格的API。流程大致如下:Angular应用程序中的API令牌安全性
- POST登录端点凭据
- 验证凭证和授权,然后生成一个新的令牌
- 返回令牌客户
- 客户端通过HTTP基本访问采用令牌API资源
这一切都很好。根据此令牌创建会话时出现问题。我不认为我应该简单地在客户端中保存cookie中的令牌,但我确实需要在页面刷新之间持续进行会话等。我的Angular应用程序是无状态的,并且通过API调用完全填充。
我正在寻找建议挂在客户端上的这个令牌。我觉得在cookie中保存令牌存在危险,因为cookie可能被盗用,并且只是用来认证其他人,但也许这是不正确的。
在此先感谢您的帮助!
这可能会帮助您http://stackoverflow.com/q/20870386/2015318 – StarsSky