2

我应该将客户端密码存储在 JavaScript 应用程序的什么位置,以防止其他用户访问它?我的特殊用例是 AngularJS SPA。

客户端密码是在登录时生成并传递回客户端的 guid,在 15 分钟不活动后过期。

考虑到我的密钥的性质,我应该关心吗?

4

1 回答 1

1

2件事:

一:你不能。它站在他们这边,任何有权访问(在该用户登录时访问计算机)和知识的人都可以看到它。以及拦截从客户端到服务器的传输的任何人(如果您不使用 https)。

二:如果您正确实施它,则没有必要。

  • 这意味着它会在过期后再次有效,还是一次性*?
  • 它是否针对您服务器上的另一半进行了身份验证?

*一次性,我的意思是 GUID 应该是全球唯一的。您是每次都为每个用户使用相同的 GUID,还是要废弃它并在下次为他们分配一个新的 GUID?如果第一个你有问题。

如果你做了所有这些事情,那么你真的不需要担心它。

于 2013-06-27T17:07:16.200 回答