我们目前正在开发一个网络应用程序,需要使用用户密码解密存储在服务器上的数据。主要目标是不再向用户询问他的密码,因此我们的想法是,在登录后,将密码存储在全局JavaScript变量中,以便以后在下载和解密文件时访问它。不知怎的,我不喜欢保持密码的概念,但从营销的角度来看,更高的优先级是方便。
我只是偏执或这是一个可能的安全问题吗?如果这可能是一个安全问题,我怎样才能以一种不会干扰便利因素的安全方式实现这一点呢?
修改
数据在上传时在客户端加密,并在下载后在客户端解密。用户的密码存储在使用SHA-256进行哈希处理的服务器上。
答案 0 :(得分:1)
您是否考虑过使用Session变量?它们更加安全。
如果您需要坚持使用客户端JavaScript,我认为您可以将它们存储在Cookie中。
但是,我不确定你真正想要为你的应用程序实现什么。
答案 1 :(得分:0)
您是否考虑过创建一个对象来处理通过模块模式对密码进行私有访问的解密?
http://www.adequatelygood.com/JavaScript-Module-Pattern-In-Depth.html