为基于javascript的移动应用程序实现持久登录的正确方法?
我目前正在开发一个移动应用程序,它主要是用HTML和css构建的,然后用phonegap运行。应用程序的一部分要求用户登录并与后端同步数据。我希望这样做,一旦用户登录到他们的设备,他们将保持登录,直到他们手动注销;他们只需输入一次信息。在使用本机代码时,我发现了一些不错的信息,但不太适合我的情况 现在,我不知道如何以一种安全的方式正确地完成这项工作。我的第一个想法是正常处理登录,然后传回一个密码,该密码存储在设备上的本地存储器中,以及使用该设备进行身份验证的用户下的数据库中。在随后的请求中,它将传递此消息并允许访问具有匹配密码的用户。我的问题是,这是否足够安全,可以实用 我也做了一些研究,看来JWT和我要找的东西很相似?我对这种方法的两个担忧是:为基于javascript的移动应用程序实现持久登录的正确方法?,javascript,cordova,mobile,jwt,Javascript,Cordova,Mobile,Jwt,我目前正在开发一个移动应用程序,它主要是用HTML和css构建的,然后用phonegap运行。应用程序的一部分要求用户登录并与后端同步数据。我希望这样做,一旦用户登录到他们的设备,他们将保持登录,直到他们手动注销;他们只需输入一次信息。在使用本机代码时,我发现了一些不错的信息,但不太适合我的情况 现在,我不知道如何以一种安全的方式正确地完成这项工作。我的第一个想法是正常处理登录,然后传回一个密码,该密码存储在设备上的本地存储器中,以及使用该设备进行身份验证的用户下的数据库中。在随后的请求中,它将
我是在正确的轨道上思考上述问题,还是我偏离了底线 你的想法是正确的,通常是这样做的。它是cookie和会话概念的组合。一旦用户登录,服务器上就会启动“会话”。会话由字符串(例如md5格式)标识并传递回客户端。字符串保存在客户端的cookie中,由于cookie信息在每个HTTP请求中发送,服务器可以将该请求分配给会话,从而将用户视为已登录。稍后的注销过程基本上包括删除cookie和/或向服务器发送删除会话对象的请求。
在大多数HTTP服务器端框架中,有一个用于会话的API,因此您不必重新发明轮子。是的,它是足够安全的,因为您通常不会将安全性建立在这一层传输上,而是通过引入https将安全性建立在较低的一层上。您的想法是正确的,这就是通常的做法。它是cookie和会话概念的组合。一旦用户登录,服务器上就会启动“会话”。会话由字符串(例如md5格式)标识并传递回客户端。字符串保存在客户端的cookie中,由于cookie信息在每个HTTP请求中发送,服务器可以将该请求分配给会话,从而将用户视为已登录。稍后的注销过程基本上包括删除cookie和/或向服务器发送删除会话对象的请求。 在大多数HTTP服务器端框架中,有一个用于会话的API,因此您不必重新发明轮子。是的,它是足够安全的,因为您通常不会将安全性建立在这一层传输上,而是通过引入https建立在较低的一层上