我正在尝试一些小想法,但遇到了障碍。
目前,当用户登录时,他们的密码存储在稍后处理的变量中。显然,获取密码所需要做的就是进入开发人员工具或控制台或其他任何东西并添加一条语句,例如alert(pass.value);.
我知道这是不现实的,但它一直困扰着我。有什么方法可以检测到警报语句并以某种方式加扰密码?正则表达式或字符串替换?
谢谢!
user2375017
问问题
61 次
2 回答
6
如果您想拥有一个安全的系统,请不要将密码存储在客户端。如果密码存储在 JavaScript 变量中,您绝对无法在 JavaScript 中执行任何操作来阻止某人访问密码。
您的所有身份验证都应在服务器端处理。如果您将密码存储在某处,请不要以纯文本形式存储它们,也不要使用自制加密方法。密码学充满了雷区,很容易出错,我建议使用像bcrypt这样经过深思熟虑的系统。
于 2013-08-19T22:42:32.367 回答
0
我建议不要在客户端保留任何类型的凭据信息。一种易于实施的可行解决方案是安全令牌密码。一个简单的过程如下所示:
- 用户访问网站。通知凭据。
- 网站验证凭据。创建与用户 ID 关联的临时令牌,并将其存储在客户端。
- 用户访问网站。通知令牌。
- 令牌针对存储进行验证,用户标识。
于 2013-08-19T22:42:46.740 回答