我是一名网络开发人员,我从大学学到如何在管理用户会话时使用SESSION(更确切地说是COOKIES) . 但是,当谈到移动应用程序时,我很困惑我应该如何实现系统以确保系统安全,同时遵循应用程序的正常做法 .
我困惑的第一件事是我应该如何将会话存储在应用程序中 . 例如,在PhoneGap中,它没有COOKIES,必须使用本地存储来模拟COOKIES行为 . 我问过一些在开发本机应用程序领域的朋友 . 他们还在Android中提到他们使用共享偏好和iOS以及类似的技术来在大多数时间存储用户数据 .
- 这是否意味着在移动应用程序中我不应该使用COOKIES并且应该将会话数据的管理转移到应用程序级别?我应该将会话存储在应用程序存储中吗?这是我想问的第一件事 .
第二件事是关于 Session 续约 . 对于网站,常见(和简化)会话验证例程如下:每当用户请求新页面时,它将首先验证用户提供的会话 . 然后更新旧会话,并存储在COOKIES中 . 下次用户将使用新会话请求页面 . 如果会话过期,则会重定向用户再次登录 .
然而,这可能不是100%适合当今应用程序世界的样子 . 至少我很少(实际上从来没有从我的经验)完全退出应用程序(例如Facebook,Dropbox,Instagram) . 我不太确定他们的会话是如何运作的 . 但是通过观察这种行为,似乎暗示那里没有会话到期策略 . 这是我感到困惑的地方,因为我在安全课程或OWASP中学到了这应该是一个安全威胁 .
- 所以我要问的第二件事是:在工业实践中,如何在移动应用环境中设计会话到期策略?会话是否会持续到用户下次再次打开应用程序时为止?此外,作为开发人员,我应该如何设计会话以确保安全性,同时我们不会创建糟糕的用户体验?例如,如果用户每次不使用该应用程序几天都必须再次登录,则用户肯定会不高兴 .
当然,安全性是一个很大的话题,不可能在一个单一的答案中提到每一个细节,但总体情况和我可以开始挖掘的一些材料可以解决我的问题 .
谢谢 .
1 回答
我有银行应用程序的经验,我们在登录时存储会话密钥(手动),用于验证每个Web服务调用,服务器处理该密钥是否有效,如果没有,则返回退出响应,这将导致您获得从应用程序启动到登录屏幕(就像你提到的那样,标准的东西) . 我们还有一个计时器,如果应用程序(和服务器端)无效,会自动注销 . 因此,对于更高安全性的应用程序,用户会比facebook更频繁地退出登录,如果您的Facebook帐户遭到入侵,您将不会失去生计(最有可能) .
所以这真的取决于你的需求 . Facebook依靠广告来获取收入,因此希望其用户能够毫不费力地进入他们的应用程序以获得最多的观看次数(牺牲安全性,但我想在手机上,你至少在指纹或密码的背后是某种形式的身份验证,即使它不是facebook自己做的事情) . 虽然银行应用程序的优先级是安全性,因此强制用户每次登录等(并且最重要的是2fa) .