Здравствуйте!
Почитал я про технологию localStorage и подумал, что в нее можно записывать данные авторизации, в случае, если юзер нажал чекбокс "запомнить меня".
Полез читать про безопасность.
Вычитал, что хранение данных в локальном хранилище - небезопасно т.к. к нему можно получить доступ из вне и я, как разработчик, об этом даже не узнаю. Соответственно назрел вопрос:
А как можно получить доступ к localStorage, если он создается браузером КЛИЕНТА и находится там же?
В процессе написания вопроса подумал, что в localStorage можно записывать
"эмейл человека : хеш код"
И записывать то же самое в базу данных, и при следующем заходе инициализируется проверка на соответствие хеш-кода в localStorage и в базе данных и если все совпало - срабатывает "автологин".
Так же хотел узнать мнение относительно этой идеи, спасибо.
p.s. да, я знаю что браузер выделяет 5мб на localStorege и безграничный поток клиентов, которые хотят "автологиниться", он не сможет обработать. Тут речь скорее об абстрактной идеи, чем об реальной реализации)
Из более современного: jwt, но это сложнее, и нужно далеко не всем.
p.s. да, я знаю что браузер выделяет 5мб на localStorege и безграничный поток клиентов, которые хотят "автологиниться", он не сможет обработать. Тут речь скорее об абстрактной идеи, чем об реальной реализации)
Это вы о чем? В одном клинте запомнить юзеров на 5мб?
LocalStorage доступен только на клиенте, то есть не отправляется с каждым запросом на сервер(придётся писать доп. логику).
Cookies так же доступен на клиенте, но и отправляется с каждым запросом на сервер.
Но! Cookies более безопасен, из за того, что имеется флаг "HttpOnly", который запрещает считывать куку скриптами с клиента, что предотвращает утечку информации из за XSS.
