基于JWT的web应用和原生android应用的身份验证
基于JWT的web应用和原生android应用的身份验证
提问于 2019-07-02 12:54:55
我有一个后端服务器为REST实现基于JWT的身份验证。虽然前端webapp是在angular js中开发的,我计划将JWT存储在HTTPOnly cookie中(具有CSRF保护)。原生android应用程序也可以访问这些REST API。然而,看起来原生android应用程序不能设置cookie。我希望避免将JWT存储在浏览器本地存储中。
有没有一种通用且安全的方式来为REST API实现基于JWT的身份验证,该API既适用于web应用程序,也适用于原生android移动应用程序?
之前我考虑过使用用户代理来区分webapp和mobile app,并实现了两种不同的身份验证机制。
回答 1
Stack Overflow用户
发布于 2019-08-15 02:36:38
如果使用协议( cookie 2.0),则只能使用片段、查询字符串或表单post (取决于客户机首选项)将令牌发送给用户,而不是OAuth!他们如何存储令牌由他们自己决定。一旦你向公共客户端发送了一些东西,就没有地方可以安全地保存任何东西了。最好将令牌放在本地存储或会话存储中,而不是cookies中,这可能会导致CSRF攻击。Access_Token是短暂的,它的泄漏应该是无害的。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/56845555
复制相关文章
相似问题
腾讯云开发者
