Ich benutze Ember, um eine Web-UI für eine Site zu schreiben, für die sich der Benutzer anmelden muss. Angenommen, der Browser hat einige Cookies von der letzten Anmeldung eines Benutzers gespeichert. Jetzt besucht der Benutzer die Site erneut. Ist es also eine sichere und übliche Möglichkeit für ember, den Benutzer basierend auf dem Cookie des letzten Besuchs automatisch einzuloggen? Wenn ja, auf welche Weise können Sie das umsetzen? (Ich kann nichts von Google finden.) Außerdem, wie erstelle ich den Cookie bei der Anmeldung? Ist es eine gebräuchliche Art, im Cookie eine Benutzer-ID, einen Passwort-Hash und eine Ablaufzeit anzugeben?Ist es eine sichere Möglichkeit, wiederkehrende Benutzer in Glut zu behandeln?
Darüber hinaus werden alle Referenzen zu diesem Thema sehr geschätzt.
Edit 1
Im Lichte der Vohuman Antwort, ich glaube, ich kann meine Frage etwas präziser machen. Grundsätzlich möchte ich eine allgemeine und sichere Implementierung kennen, mit der ein Benutzer angemeldet bleibt, auch wenn er den Browser schließt und erneut öffnet. Die Lebensdauer liegt nämlich außerhalb des Sitzungsbereichs. Nimm zum Beispiel linkedin. Wenn Sie eingeloggt sind und den Browser verlassen. Beim nächsten Besuch von linkedin sind Sie immer noch automatisch angemeldet. Gerade jetzt, was ich mir vorstellen kann, ist eine Lösung wie die folgende.
Wenn Sie sich zum ersten Mal bei der Site anmelden, gibt der Server einen Cookie zurück, der ein Authentifizierungshash-Token enthält. Wenn Sie das nächste Mal die Site erneut besuchen, erhält der Server das Hash-Token und authentifiziert somit Ihre Sitzung.
Also, ist über dem Fluss im Grunde, was Leute normalerweise tun, um einen Benutzer angemeldet zu halten? Wenn ja, ist das JSON-Web-Token (JWT) im Prinzip eine Möglichkeit, das oben erwähnte Hash-Token zu erstellen? Wenn man davon ausgeht, dass die Verbindung HTTPS ist, scheint mir dieser Ansatz sicher zu sein. Es ist nicht?
Edit 2
This article gibt eine interessante Diskussion, in Bezug auf die Zugriffstoken zu speichern.
danke für die antwort. Ich habe meine Frage basierend auf Ihrer Antwort aktualisiert. Allerdings bin ich mir Ihrer Antwort nicht ganz sicher. Angenommen, ich möchte einen Benutzer über die aktuelle Sitzung hinaus angemeldet lassen. Dann denke ich, die SessionStorage wird nicht funktionieren, oder? Wie für localStorage, ist es sicher? Kann es von bösartigen Seiten gewonnen werden? – JBT
Ich habe gerade diesen interessanten Artikel über das Speichern von JWT-Token in einem Cookie- oder Webspeicher gefunden, der tatsächlich Cookies über Webspeicher empfiehlt: https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5 -Web-Speicher – JBT