我一直在堆棧溢出研究這個話題的最後一個小時,所以我想我只是問我所有的具體問題。我正在構建一個當前使用Laravel(PHP)API和Angular的Web應用程序。我看過oAuth,但它有點令人生畏,所以我希望實現一個更簡單的解決方案,然後在必要時重新構建它。RESTful API認證流程
我目前實現的流程如下。 Angular將用戶憑證(通過https)發佈到我的休息後端,並且這只是返回一個生成的字符串(這可能是隨機生成的或生成的)。然後將該字符串存儲爲cookie或任何瀏覽器狀態,然後將其附加到每個API請求以及角度作爲額外參數或請求標頭或其他內容的用戶標識。 API使用它來檢查用戶是否有權訪問請求的資源並作出相應的響應。我可能還會在每次請求後重置的字符串上添加一個到期時間。
我的問題是,如果這是一個可接受的流量?在安全方面,我最可能面對的是什麼問題? CSRF?會話固定?
我知道這是一個問題,這個問題之前已經被問了幾次,但我只是希望有新的討論並指向相關的信息。