保持“仅会话” cookie, iOS

Question

我正在创建一个连接到网站的应用程序，并且我不希望用户每次加载应用程序时都需要输入其用户凭据。网站返回一个会话 cookie（未设置到期日期）。我无限期地保留该 cookie 有什么问题吗？如果我在应用程序启动时重新加载它，它似乎可以工作。

谢谢！

Answer 1

每个应用程序都有自己的 cookie 存储。因此，如果 cookie 没有过期，并且您没有删除它，并且应用程序也没有被删除，那么只要您愿意，使用它就没有问题。

---

编辑以下是一些有关更多意见和见解的链接：

• 持久 Cookie在 iOS 应用程序中？”
• iPhone：NSHTTPCookie 在应用程序重新启动时不会保存

我对此事的看法移动环境与桌面环境根本不同。“退出”移动应用程序与退出桌面应用程序与将焦点转移到桌面上完全不同。每次按下 Cmd-Tab 时重新进行身份验证

限制会话令牌的生命周期是一项有价值的安全预防措施，但如果服务器设计为允许会话无限期地持续，则可以在服务器端而不是客户端正确实现。因为桌面应用程序永远不会退出），那么没有理由不在移动平台上以类似的方式继续会话。

请注意，还有其他解决方案，例如将用户凭据存储在钥匙串中，以便您可以重复使用它们。这在许多情况下都是合适的，但它实际上是比无限期保留会话令牌安全性较低的解决方案。如果您要永久保留身份验证凭据，最好将其设置为单一用途的令牌（即会话 cookie），而不是多用途的用户名和密码。

Answer 2

允许设置此 cookie 没有问题，每个应用程序都有一个 cookie 存储区，如果您需要检查 cookie，您可以从中获取，但我认为因为这只是一个会话 cookie，您只需要允许它存在并让用户利用 Web 服务，直到用户注销为止。

我也用我的一些应用程序做到了这一点。

祝你好运。