我正在使用客户端模板编写 Web 应用程序。此应用程序需要与支持基本 Http 身份验证(使用 ssl)的 REST 服务器交互。因此,对于需要授权的每个请求,用户名和密码都会在请求标头中传递。我的问题是在哪里以及如何存储用户名和密码,以便可以通过 javascript 代码在客户端访问它们。
问问题
4017 次
1 回答
2
我不会在用户的系统上存储用户名和密码。这是一个安全问题。
相反,您的 REST 登录服务应该发回一个会话 cookie,其中包含一个加密的授权密钥。然后,该 cookie 将在进一步的 REST 调用时传回,您的 REST 服务后端可以读取 cookie 以验证用户是否拥有有效的授权令牌。
如果由于必须使用不同的标头而不想使用 cookie 机制,仍然可以考虑使用 auth token 方法并将 auth token 存储在本地(使用 cookie 或本地存储)。如果您根本无法控制后端,并且必须向上传递用户名/密码,那么我认为您被卡住了。将密码保存在客户端机器上(在 cookie 或本地存储或其他任何地方)是一个坏主意,因为它可以以纯文本形式读取。您使用的任何加密方法都可以轻松进行逆向工程。
于 2012-07-27T10:14:32.260 回答