要求
我必须将用户体验拆分到两个应用程序中:
- 下载的本机应用程序
- 设备的默认浏览器
用户将首先登录下载的应用程序(用户名/密码)。在某些时候,用户按下启动浏览器选项卡的继续按钮。我需要用户的会话在浏览器中持续存在,这样我就可以显示个性化内容而无需再次登录。
计划实施
首先,应用程序通过调用https://site.com/login?username=USER&password=PASS让用户登录
...服务器生成一个唯一的会话令牌并回复...
{
"sessionToken": "SWORDFISH"
}
然后当用户按下继续按钮时,应用程序会指示操作系统打开 URL...
https://site.com/page.html?sessionToken=SWORDFISH
问题
使用足够长且分布良好的会话令牌,这可以被认为是安全的吗?
当用户浏览 site.com 上的不同页面时,将会话令牌保留在 URL 中是不好的做法吗?