移动应用程序开发 - HTML5 LocalStorage 与 SessionStorage 与 Cookie

Question

我们正在 jQuery Mobile 平台上开发一个移动 Web 应用程序，需要用户提供用户名和密码。

我们不想每次都要求用户重新输入详细信息，而是只询问他们一次用户名和密码，然后提示他们输入 PIN 码。

我们将加密该 pin 并加密用户标识符字符串，并将两者保存在 LocalStorage 或 Cookie 中。

当用户第二次访问该应用程序时，我们将测试是否可以找到用户标识符，如果可以，则提示他们输入 PIN 码。

输入 PIN 码后，我们将安全地 (SSL) 传递 PIN 码和用户标识符，以便在服务器上进行解密和验证。

我在一些地方读到我们应该使用 Cookie 而不是 LocalStorage（从安全角度来看）。您同意这一点吗？cookie 可以在大多数智能手机上使用吗？

我们还需要确保用户每次关闭浏览器或浏览另一个页面或超过 30 分钟不活动时都需要重新输入 PIN。

为了管理这个问题，我正在考虑在 SessionStorage 中存储一个值，因为我读到这比 LocalStorage 更安全，并且在浏览器关闭时会过期。或者我们可以再次使用 Cookie。

安全性是一个关键问题，因此我很想听听您可能拥有的任何提示和/或替代方法。

提前非常感谢...

Answer 1

如果安全性是您最关心的问题，我不建议使用 cookie，因为它们是随每个请求发送到服务器的，这可能会被通过网络嗅探该流量的任何人拦截。从性能角度来看，使用 cookie 还会增加服务器和客户端之间来回的数据量。

出于您的目的，如果您希望数据仅在浏览器会话的生命周期内持久存在，我会选择 sessionStorage，包括可以测试会话过期的时间戳。 sessionStorage 和 localStorage 中的数据仅保留在客户端上，永远不会发送到服务器。