Использование хранения сеанса для доступа лексемы

Question

Im работает над приложением Cordova на данный момент, но я немного беспокоится о безопасности

Im используя самодельный API, чтобы получить данные в моем приложении, но пояснит каждый может посылать запросы что и так меняет мои данные. Сначала у меня был генератор токенов в приложении на основе идентификатора устройства и статического ключа соли, но поскольку приложения cordova очень просты в обратном проектировании, мне приходилось придумывать что-то еще.

Моя идея заключалась в том, чтобы генерировать токены с сервера и помещать их в хранилище сеансов, но я не знаю, является ли это безопасным.

Мысли?

Answer 1

mate, где хранить не проблема, как проверить ваш запрос - это то, о чем вам нужно подумать, вам нужно отправить пользователю temp guid после входа в систему, guid может быть sessionId в cookie, срок действия которого истекает в определенный момент довольно часто используется только cookie http для аутентификации, поэтому пользователь не может самостоятельно изменять свой файл cookie temp.

PS: вы никогда не сможете остановить обратное проектирование своего приложения, вам нужно искать архитектора, который обеспечивает передачу важных данных. Кроме того, вы можете сделать шифрование и в идентификаторе сеанса, если хотите.

проверить это: http://blog.codinghorror.com/protecting-your-cookies-httponly/