Chúng tôi đang làm việc trên một ứng dụng sử dụng cách tiếp cận rất giống nhau. Ứng dụng máy khách là một ứng dụng đơn trang HTML5/JS tĩnh (không có thế hệ phía máy chủ nào) và giao tiếp với máy chủ API.
Cách tiếp cận tốt nhất là lưu trữ mã thông báo phiên trong bộ nhớ: nghĩa là, bên trong một biến trong mã JS. Nếu ứng dụng khách của bạn là một trang duy nhất, nó không phải là một vấn đề.
Ngoài ra, chúng tôi cũng giữ mã thông báo phiên trong sessionStorage để bảo vệ nó trong trường hợp người dùng làm mới trang. Để duy trì mã thông báo khi các tab mới được tạo (sessionStorage cụ thể cho cửa sổ trình duyệt), chúng tôi cũng lưu trữ nó trong localStorage khi trang bị đóng, cùng với bộ đếm cho các tab đang mở (khi tất cả các tab của ứng dụng được đóng, chúng tôi xóa mã thông báo.
// Handle page reloads using sessionStorage
var sess = sessionStorage.getItem('session-token')
if(sess && sess !== 'null') { // Sometimes empty values are a string "null"
localStorage.setItem('session-token', sess)
}
// Set a counter to check when all pages/tabs of the application are closed
var counter = parseInt(localStorage.getItem('session-counter') || 0, 10)
counter++
localStorage.setItem('session-counter', counter)
// Event fired when the page/tab is closing
window.onbeforeunload = function() {
var counter = parseInt(localStorage.getItem('session-counter') || 0, 10)
counter--
localStorage.setItem('session-counter', counter)
// All pages are closed: remove the session token
if(counter <= 0) {
// Handle page reloads using sessionStorage
sessionStorage.setItem('session-token', localStorage.getItem('session-token'))
localStorage.removeItem('session-token')
}
}
Để biết thêm thông tin về localStorage và sessionStorage: https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_API
Tại sao không cookie? Cookie không hợp lệ vì hai lý do: 1. Chúng thường bền bỉ hơn, được chia sẻ trên các cửa sổ trình duyệt và tab và chúng có thể tồn tại ngay cả sau khi trình duyệt bị đóng. 2. Quan trọng nhất, tuy nhiên, theo thông số kỹ thuật HTTP, chúng phải được gửi đến máy chủ web mỗi khi có yêu cầu. Nếu bạn đang thiết kế một ứng dụng mà máy khách hoàn toàn tách biệt khỏi máy chủ API, bạn không muốn máy chủ của khách hàng thấy (hoặc đăng nhập!) Mã thông báo phiên trong mọi trường hợp.
Một số lời khuyên thêm:
- tokens phiên phải hết hạn. Bạn có thể đạt được điều đó bằng cách lưu trữ mã thông báo phiên trong cơ sở dữ liệu trên máy chủ và xác minh chúng trên mọi yêu cầu và/hoặc "ký" chúng (thêm dấu thời gian vào mã thông báo trong văn bản thuần túy, sau đó thêm phần đã ký, ví dụ như mã băm HMAC, với dấu thời gian được mã hóa bằng khóa bí mật mà bạn chỉ biết).
- Thẻ có thể được sử dụng lại nhiều lần trong suốt cuộc đời của chúng. Tuy nhiên, sau một số giây nhất định, bạn có thể muốn máy chủ của mình làm mới mã thông báo, làm mất hiệu lực mã thông báo cũ và gửi mã thông báo mới đến máy khách.
là ứng dụng khách của bạn, máy chủ node.js, sử dụng bất kỳ kho dữ liệu nào? –
Tôi đang sử dụng MongoDB – IgorSousaPT
bạn có thể tạo kho dữ liệu trong bộ nhớ như redis để lưu trữ mã thông báo và sử dụng nó để yêu cầu thêm. Sử dụng lưu trữ phiên với kết nối-redis là một giải pháp khả thi. –