我的想法是 登陆后cookie 应该由服务端set cookie 设为httponly,这样可以防止xss攻击,下次进入时候直接服务端去取cookie来auth获取用户信息,不知道这样子的做法是否正确,请大家指导指导.
思路是对的,简单的SSO也是这么实现的,另外就是cookie里尽量不要放敏感信息,比较这玩意在客户端可以任意被篡改
我的想法是 登陆后cookie 应该由服务端set cookie 设为httponly,这样可以防止xss攻击,下次进入时候直接服务端去取cookie来auth获取用户信息,不知道这样子的做法是否正确,请大家指导指导.
思路是对的,简单的SSO也是这么实现的,另外就是cookie里尽量不要放敏感信息,比较这玩意在客户端可以任意被篡改