假设我有一个网络应用程序,并且注册/身份验证流程正常工作。 用户可以注册,并可以通过服务器进行身份验证和验证。 现在,我想,让会话为用户工作还需要做一些工作吗?
例如,当用户进行身份验证时,Web 应用程序应该设置 cookie 或在内部存储中保留用户的某些令牌,以使经过身份验证的请求成为可能?
是否有关于如何结合 webauthn 和会话管理的推荐实践,或者会话应该按照通常独立于 webauthn 一起使用的方式实现?
在会话管理方面,使用密钥登录没有什么独特之处。 Cookie 通常用于表示会话客户端。许多前端框架会自动设置会话cookie。通常,会话 cookie 仅是 HTTP,以减轻基于 JavaScript 的 cookie 劫持。
OSWASP 在会话安全和 cookie 方面有一些很棒的资源:https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html