23

認証とセッション処理を必要とするFirebaseを使用して基本的なウェブアプリを構築しています。Firebase Authのドキュメントを調べて、Facebookログインでメール/パスワードオプションを使用することにしました。

ログインに成功するtokenと、ページが更新されたとき、またはを使用して新しいタブでログインするために再度使用できるが取得されますauth()。ただし、そのためには、クライアント側のどこかにトークンを保存する必要があります。認証とセッション処理を実装するFirefeedのソースコードを調べて、ユーザーのブラウザのにtoken保存されます。localStorage

このアプローチはどの程度安全ですか?localStorageブラウザを使用している人なら誰でもデータを見ることができるからです。これに代わるより良い方法はありますか?

4

1 に答える 1

25

シンプルログインによって返されるトークンは、期限付きのユーザー固有のトークンです。侵害された場合、最悪の場合、攻撃者は限られた期間、そのユーザーになりすますことができます。ユーザーのパスワードやその他の機密データは含まれていません。

localstorageは、保存元のホストドメイン上のJavascriptからのみアクセスできるため、アクセスする他のサイトはアクセスできません(ブラウザーまたはサイトが侵害されていない場合、侵害されている場合は、すべての賭けが無効になります)。 ...)

したがって、簡単に言えば、このアプローチは非常に安全です。

于 2012-12-30T20:03:15.240 に答える