会话存储安全

Question

我正在为我的web应用程序使用一个解析后端，它使用JavaScript API。我现在有一个登录页面，它可以重定向到另一个网页，它允许查看存储在后端的数据。

一旦我在登录后重定向到页面，虽然我不再登录，我已经想出了一个看起来像解决方案，但我不太确定。

我考虑过简单地使用登录页面，将用户名和密码存储在sessionStorage中，然后在新页面加载之后，基本上使用这些凭据登录。不过，这似乎有些麻烦，我担心将此类信息存储在会话存储中所涉及的安全问题。

我读过一些使用会话令牌的人，尽管我对web开发还不太熟悉，我不知道该如何做，或者这是否是正确的方法。

Answer 1

在会话存储中保存用户名和密码是不安全的。sessionStorage可以被访问该设备的人读取，并将其用于其他目的。Parse有自己的API使用指南，在这里，他们一直在考虑API的安全性。

因为您对web开发一般都是新手，所以我建议您从解析和如何使用安全准则的角度来阅读Javascript中的解析。

当用户在Parse.User.current()中登录时。这是一个缓存对象，可以保存到本地存储。它不包含用户的用户名和密码，而是包含sessionToken和其他信息。在与Parse通信时，需要使用这个缓存的对象。请阅读关于当前用户的这一部分，以更好地了解这是如何工作的。