在 AngularJS 中本地保存会话有多安全？

Question

这是我的结构：

1. HTML 表单向nodejs 发送身份验证。
2. 使用passportjs > res.send 和userid 和jwt-simple（json Web 令牌）进行身份验证。
3. 收到的信息保存在$localStorage.user。我在所需的任何控制器中使用该信息并将其包含在内并将我的post/get 请求发送到nodejs。
4. 我解码nodejs中的信息并查询DB。

这样安全吗？这是它在现实世界中的运作方式吗？

非常感谢。

Answer 1

@某人名： 您提到的工作流程稍微正确。 完成护照认证的理想方法是，

1. 用户登录输入他的用户名和护照。
2. 使用这些表单数据发送发布请求。
3. 使用Passport 验证凭据。使用 passport.authenticate 将调用 serializeUser 并为您获取有效用户（如果存在）。否则我们会返回登录错误响应。
4. 成功登录后会自动在后端创建会话，保存在 sessionStorage 中并与响应一起添加。
5. 在客户端获取响应后，此 cookie 将自动保存到浏览器的本地存储中。
6. 每次我们发送后续 API 请求时，我们都需要在 req 标头中包含此 cookie。
7. 这个 cookie 在后端每次都应该是validated。 passport.authorize 将再次使用 cookie 并检查会话是否有效。

8. 用户注销后注销会话。

   希望我已经让你明白了。