gpt4 book ai didi

javascript - 在 localStorage 中存储 HTTP Basic 授权 header 是否存在任何安全问题?

转载 作者:搜寻专家 更新时间:2023-10-31 08:17:57 25 4
gpt4 key购买 nike

我正在构建一个访问私有(private) API 的网络应用程序。我正在使用的 API 使用基于 TLS 的 HTTP 基本身份验证。我的客户已请求 Web 应用程序具有“记住我”功能,以便用户可以在给定设备上保持持久身份验证。

我的快捷解决方案是在验证后将 Authorization header 存储在 localStorage 中。当然,如果可以完全访问用户的设备,任何有能力的人都可以从 localStorage 复制 auth header 并对其进行解码以检索用户的登录名/密码组合。

除了整个设备妥协之外,将此类敏感数据存储在 localStorage 中是否还有其他安全隐患? localStorage 是否可以作为密码等敏感数据的存储?如果不是,您将如何在个人浏览器 session 之外将此类数据保存在用户设备上?

(我希望每个人都可以使用他或她的私钥...密码是 90 年代)

编辑阅读后HTML5 localStorage security显然,将敏感数据存储在 localStorage 中通常不是一个好主意,但在这种情况下,身份验证持久性有什么更好的选择?

最佳答案

我认为在用户端存储与登录名或密码相关的内容是个坏主意。

但是一旦用户登录,您可以在用户端和您的数据库中存储随机字符串(例如随机哈希)。当用户回来时,你可以比较两者,如果它们相同,你可以登录用户。并且您可以要求用户输入密码以进行敏感操作(更改密码或登录等)。因此,即使哈希被盗,也没有人能够获得对该帐户的完全访问权限。

编辑:此概念已用于 cookies .我从来没有用 localStorage 测试过它。

关于javascript - 在 localStorage 中存储 HTTP Basic 授权 header 是否存在任何安全问题?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26309866/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com