1

要求

我必须将用户体验拆分到两个应用程序中:

  1. 下载的本机应用程序
  2. 设备的默认浏览器

用户将首先登录下载的应用程序(用户名/密码)。在某些时候,用户按下启动浏览器选项卡的继续按钮。我需要用户的会话在浏览器中持续存在,这样我就可以显示个性化内容而无需再次登录。

计划实施

首先,应用程序通过调用https://site.com/login?username=USER&password=PASS让用户登录

...服务器生成一个唯一的会话令牌并回复...

{
    "sessionToken": "SWORDFISH"
}

然后当用户按下继续按钮时,应用程序会指示操作系统打开 URL...

https://site.com/page.html?sessionToken=SWORDFISH

问题

使用足够长且分布良好的会话令牌,这可以被认为是安全的吗?

当用户浏览 site.com 上的不同页面时,将会话令牌保留在 URL 中是不好的做法吗?

4

0 回答 0