HMAC / Javascript - 在哪里存储秘密?

时间:2013-11-25 14:15:25

标签: javascript hmac

客户端在首次登录服务器后获取HMAC加密的秘密 - 但是在(java-script)客户端上存储秘密的最佳方法是什么? cookie,localStorage? THX

2 个答案:

答案 0 :(得分:0)

best方式非常主观。

如果你必须把它存放在客户端上(你必须,我认为),那么它就不安全,它就是不能。
把它放在一边,best方式取决于你的情况。

您是否尝试定位旧浏览器?然后你不能使用本地存储。

由于我们已经从等式中删除了安全性,因此您最深远,跨浏览器兼容的解决方案是将其存储在Cookie中。
这也可能是最简单的解决方案之一,但肯定是最不安全的(因为这里你唯一的安全形式是默默无闻,而且......不是模糊的。)

答案 1 :(得分:0)

答案是,这取决于。 localStorage和Cookie不等同。虽然它们都可以用于在客户端上存储信息,但它们可以提供非常具体的目标。 localStorage用于在本地存储应用程序的数据。它不能直接从服务器设置,也不能通过HTTP头发送到服务器。

您还可以查看sessionStorage

但是,cookie通常是通过HTTP头从服务器创建的(即使有JS API),它们包含到期信息。设置后,它们将成为每个客户端请求的HTTP标头的一部分,允许服务器访问信息。

这两种方式可能同样安全,因为它们都无法从其他域访问。但是,如果您要传输安全信息,您也应该通过HTTPS进行传输。