Безопасность хранения сеанса

Question

Я использую компонент синтаксического анализа для своего веб-приложения, которое использует JavaScript API. В настоящее время у меня есть страница входа в систему, которая перенаправляется на другую веб-страницу, которая позволяет просматривать данные, хранящиеся в бэкэнд.

Как только я перенаправляюсь на страницу после входа в систему, хотя я больше не вошел в систему, я придумал, что похоже на решение, но я не совсем уверен.

Я рассмотрел просто страницу входа в систему, сохранив имя пользователя и пароль в sessionStorage, а затем, как только новая страница загрузится, в основном войдя в систему с этими учетными данными. Это кажется несколько громоздким, хотя я беспокоюсь о проблемах безопасности, связанных с хранением такого рода информации в хранилище сеансов.

Я читал о людях, использующих токены сеанса, хотя я только новичок в веб-разработке, и я не уверен, как это сделать или если это правильный путь.

Answer 1

Невозможно сохранить имя пользователя и пароль в sessionstorage. SessionStorage может быть прочитан кем-то с доступом к устройству и использовать его для других целей. У Parse есть собственные рекомендации по использованию его API, где они долго думали о безопасности своего API.

Поскольку вы новичок в веб-разработке в целом, я бы предложил вам прочитать security guidelines из синтаксиса и как использовать parse in Javascript.

Когда пользователь регистрируется в Parse.User.current(). Это объект кеша и может быть сохранен в локальном хранилище. Это не содержит имя пользователя и пароль пользователя, а вместо этого sessionToken и, возможно, другую информацию. Этот кешированный объект необходимо использовать при общении с API-интерфейсом. Пожалуйста, прочитайте this part about the current user, чтобы лучше понять, как это работает.