セッションストレージにデータを格納することによるセッション管理

Question

私は、AngularJsを使用してブラウザのsessionStorageにユーザーデータを格納することによってセッションを処理しています。次のように私が使用しています基本的な流れは以下のとおりです。ノードすなわちからユーザを返すフロントエンド

によって

1. ログインをバックエンド
2. のsessionStorage
3. で返されたデータを保存して、ユーザーのIDを送信しますストレージをクリアするサーバー
4. へのすべての要求をサインアウト

は私のアプローチは正しいですか？ MEANアプリケーションでセッションを効率的に管理するにはどうしたらいいですか？

Answer 1

重要なデータをLocalStorageまたはSessionStorageに格納することは、XSS攻撃に対して脆弱であるため、間違いなく良い考えです。

これらの情報をクッキーに保存する方がよいでしょう...しかし、クッキーはCSRF攻撃に対して脆弱であるため、ここでは行われていません。

これを実行する最良の方法は、クリティカルな情報をクッキーに保存し、ランダムに生成されたセッションキーをSessionStorageに保存することによってクライアントをCSRFから保護することです。

この回答を確認してください： CSRF Token necessary when using Stateless(= Sessionless) Authentication?