データサービス用のASP.NETMVCWebAPIプロジェクトバックエンドを使用してSPAJavascriptアプリケーションを構築しています。以前は、ユーザーのセキュリティのためにASP.NETフォーム認証を使用していましたが、Cookieを使用する代わりに、ユーザー名/パスワードを毎回データサービスに渡すことを検討しています。すべての通信はHTTPSを介して行われます。
2つの質問
- Cookie +セッションベースのセキュリティと、ある種のJavascriptオブジェクトのメモリにユーザークレデンシャルを保存することの長所/短所は何ですか?
- クレデンシャル(パスワードを含む)をメモリブラウザ側に保持するための推奨される方法はありますか?