API-dev: Permitir solicitar una cookie con el token, y poder usar la cookie en lugar de header

Actualmente se puede usar con Postman fácilmente, además ponerla en cookie creo que le restaría algo de seguridad a la aplicación.

La descarga de archivos es complicada con token, una cookie seria más util.

¿Más útil o más fácil? Yo consideraría más seguro por el header.

/v1/cfds.csv?Token-Auth=WkhCcGJtVmtZVUJ1WldGeVluQnZMbU52YlEsVVNFUiwxMzkwMjc1OTk2MjEwLGEyVjJNamcxYW5WblpuSm9ibWRuYVcxMWJHNDBNMnd4Wkc4LDVRVEhBT1BhVXR2VDdBQ1FKWjVLVjBEN1FJc3Z0NF8zWXRnX180M3RoVms&date=1390240504119&inPapelera=false&carpetaId=41

de esa url, a una más simplificada + cookie, a mi parecer es más útil y más fácil, ya que para nuevas ventanas no es posible usar header o al menos no es fácil.

El problema Desiderio es que eso es mas inseguro porque en los logs se pueden guardar estas cosas, yo creo que en Dev, puede ser lo de las cookies algo válido, pero definitivamente en producción no lo recomiendo pues es mas inseguro ya que esa forma de autenticación es suceptible a CSRF

Voto negativo en producción, en desarrollo, sin voto (porque creo que no es tan importante en este momento)

http://michael-coates.blogspot.mx/2010/07/html5-lo...

Aquí explican como extraer los datos de localstorage. Lo voy a probar y vamos a ver qué consecuencias tiene eso en seguridad en producción.

http://www.techlitic.com/html5-local-storage-vs-co...

Aquí también lo desaprueban por seguridad

creo que ya esta implementado: corpfolderApi.service('keyValueLocalStorageService', function () {

Si esta implementado guardar la info en cookies o en localstorage en el front-end, pero es diferente a la cuestión de usar la cookie como mecanismo de autenticación, en cuyo caso si tiene un par de defectos en la seguridad.

Les dejo un documento donde se discuten los defectos de usar Cookies como mecanismo de autenticación con respecto a usar OAuth, que es un poco similar a lo que estamos utilizando, ya que prácticamente estamos implementando OAuth 2.0 con "Password Grant" o como el "two-legged" OAuth.

http://sitr.us/2011/08/26/cookies-are-bad-for-you....

Con cookies tienes el problema de CSRF, con OAuth tienes el de XSS, pero creo que en el caso de CorpFolder CSRF puede ser mas dañino, en particular con requests de timbrado.