Hirdetés

üzenetek

hozzászólások


lionhearted
(őstag)

Ha nem cookieban tárolod, akkor kiteszed a tokent XSS támadásnak. Ha cookieban tárolod, akkor pedig CSRF támadásnak. De míg ez utóbbi kezelhető, előbbire nincs megoldás. Tehát biztonsági szempontból a token/sessionID tárolás biztonságos módja a süti.

@kraftxld: OAuth2 csak annyit segít, amit írtál is, hogy be tudj jelentkezni FB/Google/OpenID/saját azonosítóval. A tokent, amit ilyenkor kapsz, valahol tárolni kell, és küldözgetni a hívásokkal. Hogy hol tárolod, ezt írtam feljebb. :)

üzenetek