我们如何加密从单个 SPA 传递给应用程序的身份验证令牌
singleSpa.registerApplication({name: 'app1',activeWhen,app,customProps: { authToken:"d83jD63UdZ6RS6f70D0" }});
问问题
102 次
1 回答
0
网页上的加密很容易,例如,您可以使用对称加密算法,如 AES ( AES-JS ) 但实际的问题是您的目标是什么?
- 您想防止 MITM 攻击吗?使用 TLS。
- 您想阻止客户端访问令牌吗?不可能,因为他可以直接看到请求。
- 您想缓解 XSS 攻击吗?您需要将加密密钥存储在某处!如果它在内存中,那么在几分钟内,如果您将密钥存储在内存中,您可能是安全的,但是当标签关闭时会发生什么?
关于您的使用会有更多安全问题(根据代码片段判断),但您需要在问题中提供更多详细信息。
于 2020-08-24T23:19:26.400 回答