3

我们目前正在开发一个需要使用用户密码解密存储在服务器上的数据的网络应用程序。主要目标是不再向用户询问他的密码,因此想法是,登录后,将密码存储在全局 JavaScript 变量中,以便稍后在下载和解密文件时访问它。不知何故,我不喜欢保留密码的想法,但从营销的角度来看,更高的优先级是方便。

我只是偏执还是这可能是一个安全问题?如果这可能是一个安全问题,我怎样才能以不干扰便利因素的安全方式实现它?

编辑

数据在上传时在客户端加密,下载后在客户端解密。用户的密码存储在使用 SHA-256 散列的服务器上。

4

2 回答 2

1

您是否考虑过使用 Session 变量?它们更安全。

如果您需要坚持使用客户端 JavaScript,我认为您可以将它们存储在 cookie 中。

但是,我不确定您真正想要为您的应用程序实现什么。

于 2013-09-05T14:34:29.727 回答
0

您是否考虑过通过模块模式创建一个对象来处理对密码具有私有访问权限的解密?

http://www.adequatelygood.com/JavaScript-Module-Pattern-In-Depth.html

于 2013-09-05T14:40:33.983 回答