我正在使用Asp.net Web API 2为后端构建angular js 1.X应用程序。在Web API 2中,我可以通过在令牌终点(ApplicationOAuthProvider)上发布我的凭据来轻松获取令牌。 现在因为角度JS是客户端,所以我需要在客户端一个位置来保存此令牌,以便我可以在所有后续HTTP调用中发送此令牌以验证客户端。 为此,我将我的令牌存储在浏览器的本地存储中。但我不是在这里存储令牌是安全的(客户端)。 任何有权访问我系统的人都可以轻松获取令牌,并在他的机器上使用它来登录系统。 如果有人有建议那么请指导我。谢谢
这是Web应用程序中身份验证的基本挑战之一。简短的回答是,“这已经足够了。”
答案越长,您应该验证:
对于全面的最佳实践,您应该在OWASP网站上花一些时间。