我想知道在我的系统发送会话密钥的最佳选择。
在我的系统,还有所使用的网络浏览器,命令行界面和桌面应用程序的API服务器。它通过查看Authorization HTTP头认证用户。
目前,浏览器存储在localStorage的会话密钥和重视它在Authorization头用于需要登录请求。然而,有人指出,存储机密信息,如会话密钥更安全的方法是使用HTTP的只有饼干。
问题是,Web浏览器客户端将无法读取仅HTTP Cookie,并把在HTTP头中的会话密钥。
鉴于这一情况,我想扩展API服务器为使用Authorzation页眉或饼干的一个授权用户。这是一个可行的选择,以及是否有办法?
你说得对,饼干和授权头是不是开箱即用的兼容。正如你指出,你正在寻找在两个用例:一个是浏览器使用,另一个API(CLI,桌面应用程序)。
如果你想通过一个单一的身份验证方案来支持,你将需要工作多一点。作为一个好的经验法则,用浏览器cookie和它很容易将它设置安全工作。您应该选择与浏览器基于Cookie的会话管理。
鉴于这一情况,我想延伸到使用授权页眉或饼干中的任何一个授权用户的API服务器。这是一个可行的选择,以及是否有办法?
是的,这是可行的,它会使你的浏览器使用情况更安全。作为替代方案,我把一个Web Authentication Guide,这将大大帮助你探索你的选择。