我正在制作一个扩展程序,需要保留用户的个人资料,以便在用户登录时从各种服务器中提取正确的信息。
所以我发现了这篇文章:Storage of passwords in Google Chrome Extension。我觉得它没太大帮助。
我相信如果我能存储用户登录密码的哈希值(我的扩展名是唯一的),我就可以使用密码作为密钥来加密他们的所有个人信息。我担心在我引用的帖子中发表的评论,他说,他们可以阅读扩展的源代码并计算出哈希值。
我的想法可行吗?如果是这样,我应该使用什么?还是其他建议?
答案 0 :(得分:0)
这取决于密码的用途。例如,如果它们是银行账户,那么看看你的javascript并弄清楚如何解密文件可能值得一个坏人。这就是查看加密内容所需的内容。
如果内容是不太有价值的东西的密码,你可以这样做。
如果内容很有价值,您需要在某个地方的服务器上进行加密,而不是使用javascript在客户端进行加密。这样做几乎总是要求你也存储它们,尽管可以在服务器上传递加密并将数据存储在客户端上。
答案 1 :(得分:0)
您不应将个人信息或密码存储在localStorage中,因为有权访问该计算机的任何人都可以轻松访问此信息。即使它是加密的,也可以通过检查源代码轻松解密(扩展的源代码可以被任何人轻松查看)。
一种解决方案是将信息存储在服务器上,并使用第三方登录(Google,Facebook)来验证用户而不是密码。