Sitzungsverwaltung durch Speichern von Daten im Session-Speicher

Question

Ich verwalte Sitzungen, indem ich die Benutzerdaten im SessionStorage des Browsers mit AngularJs ablege. Die Grundströmung Ich verwende ist wie folgt:

1. Anmeldung von Front-End-
2. Zurückgeben des Benutzers von dem Knoten dh Back-End-
3. Speichern der zurückgegebenen Daten in session
4. Senden ID des Benutzers mit jede Anfrage an den Server
5. die Speicher Clearing bei der Anmeldung aus

Ist mein Ansatz richtig? Wenn nicht, wie kann ich Sitzungen in einer MEAN App effizient verwalten?

Answer 1

Das Speichern kritischer Daten als Token in LocalStorage oder SessionStorage ist definitiv keine gute Idee, da es anfällig für XSS-Angriffe ist.

Eine bessere Praxis wäre es, diese Informationen in einem Cookie zu speichern ... Allerdings sind wir hier nicht fertig, da Cookies anfällig für CSRF-Angriffe sind.

Daher ist es am besten möglich, kritische Informationen in einem Cookie zu speichern und Ihre Kunden vor CSRF zu schützen, indem Sie in SessionStorage einen zufällig generierten Sitzungsschlüssel speichern.

prüfen diese Antwort: CSRF Token necessary when using Stateless(= Sessionless) Authentication?