Web api 身份验证后将令牌存储在浏览器本地存储中是否安全
Is it safe to store token in browser local storage after web api authentication
我正在构建 angular js 1.X 应用程序,后端使用 Asp.net Web API 2。在网络 API 2 中,我可以通过在令牌端点 (ApplicationOAuthProvider) 上发布我的凭据来轻松获取令牌。
现在 angular JS 是客户端,所以我需要在客户端有一个地方来保存这个令牌,这样我就可以在所有后续的 HTTP 调用中发送这个令牌来验证客户端。
为此,我已将我的令牌存储在浏览器的本地存储中。但我不知道在此处(客户端)存储令牌是否安全。
因为任何有权访问我的系统的人都可以轻松获取令牌并在他的机器上使用它来登录系统。
如果有人有建议,请指导我。谢谢
这是 Web 应用程序中身份验证的基本挑战之一。简短的回答是,"It's good enough."
较长的答案是您应该验证:
- 令牌足够长以防止暴力破解
- 令牌足够随机以防止猜测
- 通信始终 通过 TLS 以防止 interception/sniffing
要获得全面的最佳实践,您应该花一些时间在 OWASP 网站上。
我正在构建 angular js 1.X 应用程序,后端使用 Asp.net Web API 2。在网络 API 2 中,我可以通过在令牌端点 (ApplicationOAuthProvider) 上发布我的凭据来轻松获取令牌。
现在 angular JS 是客户端,所以我需要在客户端有一个地方来保存这个令牌,这样我就可以在所有后续的 HTTP 调用中发送这个令牌来验证客户端。
为此,我已将我的令牌存储在浏览器的本地存储中。但我不知道在此处(客户端)存储令牌是否安全。
因为任何有权访问我的系统的人都可以轻松获取令牌并在他的机器上使用它来登录系统。
如果有人有建议,请指导我。谢谢
这是 Web 应用程序中身份验证的基本挑战之一。简短的回答是,"It's good enough."
较长的答案是您应该验证:
- 令牌足够长以防止暴力破解
- 令牌足够随机以防止猜测
- 通信始终 通过 TLS 以防止 interception/sniffing
要获得全面的最佳实践,您应该花一些时间在 OWASP 网站上。