1
我需要能夠爲與ASP.NET WebAPI REST服務進行通信的移動應用程序提供持久登錄會話。如何使用WebAPI保留其餘API的持續登錄會話
當前,連接是通過SSL進行的,用戶憑證被傳遞給WebAPI進行身份驗證。然後,服務器用在會話期間使用的Api令牌進行響應。
這一切工作正常,但我需要提供用戶能夠在登錄屏幕上點擊「保留我的登錄」複選框的能力。
我最初的想法是簡單地將Api密鑰存儲在本地存儲中,並在返回到站點時,查找本地存儲中的Api密鑰並恢復與服務器的通信。只有退出時,或取消選中「保持登錄狀態」複選框才能清除此問題。
這有多安全?實現這種系統的推薦方式是什麼?
我的令牌會議已經工作,但我不知道我是如何實際進行持續的登錄功能。我需要在本地存儲中堅持令牌,但這是否具有安全風險? – jaffa
嗯 - 只是平時;)它有一個持久性cookie相同的威脅模型。你決定。 – leastprivilege