我的应用程序需要登录,我有Remember username and password能力。然后将用户名和密码与
localStorage.setItem('用户名', 用户名);
这种存储用户名和密码的方式有多安全?我担心的是,特别是在 Android 上,其他应用程序是否可以访问数据并可以获取登录信息。
该应用程序适用于 iOs 和 Android,我正在使用PhoneGap 2.9.
问问题
12336 次
4 回答
18
LocalStorage 在正常情况下只能由您的应用访问。它与特定平台(iOS、Android)上的沙盒一样安全,能够保护您的应用程序的数据不被其他应用程序读取。
有时该沙盒并不像您预期的那么强大,例如在这些情况下:
- 设备已root或越狱
- 制造商未能提供安全更新或用户只是没有更新
- 攻击者可以物理访问设备,例如如果设备被盗。
如果攻击者可以访问明文密码和用户名,他们也可以尝试使用其他帐户(不仅仅是您的服务)。因此,如果您的应用程序的用户对多个服务使用相同的密码,攻击者也可以访问它们。
存储密码哈希怎么样?
对于服务器端应用程序,这是一个好主意,因为它们在受保护的环境中运行(具有访问控制的数据中心,系统工程师负责安全更新)。
另一方面,手机很容易被盗,用户通常不会或无法安装安全更新。
如果散列没有加盐,如果你得到散列,很容易使用彩虹表获取明文密码。如果哈希是加盐的,那么很容易获得简单密码的明文密码。此外,很容易生成不安全的密码哈希。
解决方案:存储随机生成的访问令牌:无论密码多么简单或复杂,通过查看令牌是不可能得到明文密码的。
TL;博士
如果您使用凭据对某种 API 服务进行身份验证,则不应将密码和用户名存储在本地,即使在 iOS 钥匙串等安全存储中也是如此。
相反,您应该做的是仅存储从该 API 获得的随机生成的令牌(不是密码哈希!)(类似于将会话 ID 存储在 cookie 中而不是用户/密码组合中的概念)。一种可能性是使用 OAuth。
这样,即使沙盒无法保护数据或手机被盗,您也可以确保真实凭据永远不会泄露。
于 2013-08-09T10:30:22.953 回答
4
每个应用程序在 PhoneGap 中使用它自己的 webview,localStorage 只能在该 webview 中访问。
编辑:我仍然会考虑散列密码。
于 2013-08-09T10:20:04.277 回答
0
在 localStorage 中保存密码不是一种安全的方法。如果您使用的是 PhoneGap,请尝试将用户名和密码保存在 iOS 钥匙串中。看看这个插件: https ://github.com/shazron/KeychainPlugin
于 2014-11-18T07:20:21.740 回答
0
每个不同的 cordova 应用程序就像不同的 Web 浏览器,只能访问它们自己设置的数据或 localStorage 数据,因此不同的应用程序无法访问您自己的应用程序设置的 localStorage 中的数据。同时,如果您想对用户进行身份验证,请考虑为此使用 jwt 访问令牌,而不是在设备上存储实际的原始用户名或密码。
于 2020-12-23T15:48:57.437 回答