基于Javascript的应用程序中的安全性-刷新用户哈希
Security in a Javascript based app -refreshing a users hash
我正在使用HTML/CSS/JS开发一个混合移动应用程序,我正在检查登录信息的安全性,我设置的系统在用户登录后创建一个哈希,这个哈希有时间限制,并通过localStorage 设置
本质上,我会有这样的东西是本地存储:
hash
5f4a09cfec2a6d8f306eecb3844e33e9
hash_expiration
1373012945
password
*encryted user password*
这个散列被发送到我的服务器,在我所有AJAX请求的头中进行验证(附带用于数据库匹配的用户id)
我打开这个主题主要是为了讨论如何处理重新创建哈希密钥的最佳实践,我需要找到一种刷新用户哈希密钥的方法。
考虑到我使用AJAX和JS的经验仍然相当有限,我考虑使用AJAX设置来检查新的哈希,比如:
$.ajaxSetup({
beforeSend: function(xhr, settings) {
var time = new Date().getTime(); //unix time
var hash_time = localStorage.getItem("hash_expiration");
if(time>hash_time){
//ajax request to fetch new hash, async: false to make sure this completes before continuing with other AJAX calls
}
}
});
我会发送用户id和他的加密密码来验证他,并返回一个新的哈希。
我应该在ajaxSetup的beforeSend中发送AJAX请求吗?这将如何与我的应用程序中的其他beforeSends发生冲突?
基本上,在客户端,除了hash之外,不应该有任何东西。在服务器端,该散列必须与它所属的用户、过期时间以及您需要的任何其他信息相关联。
将此哈希与每个请求一起发送,并在服务器端验证它。当它过期时,您必须发送(服务器)适当的标头,如401-Unauthorized。客户端必须理解该响应,并尝试将哈希交换为新的哈希。最后,当客户端获得新的有效散列时,它可以继续发送请求。
您不应该在客户端检查过期时间,此作业适用于服务器。
谢谢。
相关文章:
- 如何在用户返回和上一个按钮时刷新下拉列表
- 防止用户多次刷新页面
- 用户使用浏览器时SPA中的问题's的后退或刷新功能
- 禁止用户刷新页面
- 当至少有一个用户触发事件而不刷新页面时,更改所有用户页面中的内容
- 允许用户在不刷新页面的情况下留下多条评论
- 如何在用户更新AngularJs中的控制器时刷新$state
- 当用户单击关闭浏览器时(但不是当用户单击刷新按钮时),JavaScript会确认启动
- 当用户刷新页面时,如何在单独的服务器中处理socket.io上的会话
- 重新启动/刷新时在Google Maps API上保存标记,之后's已被用户拖动.下面的
- 在用户提交表单后显示数据(从API调用检索),而不刷新页面
- 在JS web应用程序中,如何确保具有访问令牌的恶意用户无法刷新它
- 如何限制用户导航回以前的页面并刷新
- 检查用户是否刷新,返回,关闭浏览器等 socket.io
- 余烬.当用户刷新网站时,保留下拉菜单中的选择
- 当用户从下拉列表中选择时刷新 CKEDITOR
- 根据用户选择的计时器间隔自动刷新页面
- 在用户不刷新时更新 Web 应用程序
- 刷新所有联机用户的页面
- 基于Javascript的应用程序中的安全性-刷新用户哈希
