【发布时间】:2016-06-17 01:00:18
【问题描述】:
我正在使用 ember 为需要用户登录的网站编写 web ui。假设浏览器存储了用户上次登录的一些 cookie。现在用户再次访问该站点。那么,ember 根据上次访问的 cookie 自动登录用户是否是一种安全且通用的方式?如果是这样,实现这一点的常用方法是什么? (我在 Google 上找不到任何东西。)此外,如何在登录时创建 cookie?将用户 ID、密码哈希和过期时间放在 cookie 中是一种常见的方法吗?
此外,非常感谢与此主题相关的任何参考。
编辑 1
根据 Vohuman 的回答,我想我可以让我的问题更具体一点。基本上,我想知道的是一种常见且安全的实现方式,可以让用户保持登录状态,即使他们关闭并重新打开浏览器也是如此。即,生命周期超出了会话范围。以linkedin为例。如果您已登录并退出浏览器。然后下次你重新访问linkedin时,你仍然是自动登录的。现在,我能想到的解决方案如下。
当您首次登录网站时,服务器将返回一个包含身份验证哈希令牌的 cookie。然后下次您重新访问该站点时,服务器将收到哈希令牌,从而验证您的会话。
那么,以上流程基本上是人们通常用来保持用户登录的方式吗?如果是这样,JSON Web 令牌(JWT)基本上是构造我上面提到的哈希令牌的一种方法吗?此外,假设连接是 HTTPS,这种方法对我来说似乎是安全的。不是吗?
编辑 2
This article 就访问令牌的存储位置进行了有趣的讨论。
【问题讨论】:
标签: javascript cookies ember.js web-applications