Cookie vs Storage: come gestire gli Authentication Token
Come già anticipato nel primo articolo, una volta stabilite le politiche di accesso alle risorse, bisogna stabilire come realizzare, mantenere ed inoltrare la “sessione” di un utente per le successive chiamate al servizio.
Per il momento non mi soffermerò su come realizzare gli Authorization Token, ma piuttosto sul come debbano essere gestiti e persistiti.
Sebbene la tabella sopra riassuma in modo sintetico ma completo le caratteristiche e le differenze delle varie strategie di persistenza disponibili, è possibile fare delle ulteriori considerazioni sia sulla natura delle entità prese in esame che sulle vulnerabilità che le caratterizzano a livello teorico e riportando casi d’uso.
Cookie HTTP
Vennero introdotti con HTTP/1.0 per rendere la navigazione e l’interazione con un servizio stateful, malgrado il protocollo siastato implementato per esser stateless; infatti viene utilizzato per garantire ad un utente, che si sia precedentemente autenticato, l’interazione con un servizio senza che debba ri-autenticarsi o debba dover specificare una serie di opzioni di navigazione ad ogni chiamata.
