모바일 웹 응용 프로그램에 인증 토큰을 저장하는 가장 안전한 방법

Question

현재 모바일 웹 응용 프로그램에서 작업 중이며 인증 (서버 측)이 완료되었지만 인증 토큰을 저장하는 방법을 잘 모르겠습니다. REST 서비스는 클라이언트 간의 트랜잭션을 처리합니다.

그것은 제기 한 다음과 같은 질문 :

• 는이 토큰을 저장하는 로컬 스토리지 (HTML5)를 사용하는 것이 안전합니까?
• 응용 프로그램을 닫을 때 토큰을 지워야합니까 (가능한 경우)?
• 매 로그인마다 REST 서비스가 새 토큰을 생성해야합니까?

모범 사례는 무엇입니까? 응용 프로그램이 네이티브로 전환 될 때 다른 옵션이 있다는 것을 이해합니다.

Answer 1

사용자가 PC를 사용하여 토큰을 요청하는 것을 방지 할 수는 없으므로 이것이 첫 번째 취약점입니다. 요청 자체도 동일합니다.

그래서 취약점 체인은 여전히 ​​당신이 보내기 전에이를 암호화하는 SCJS 라이브러리를 사용하여보다 안전이 필요하면 변수

로컬 스토리지

에

1. 요청
2. 스토어입니다 그것은 localStorage (열려있는 사용 가능한 폴더에서 사람이 읽을 수있는 파일)입니다.

   localStorage와 다른 앱 내부는 앱 세션에서만 사용할 수 있습니다.