我有一个单页的AngularJS应用程序,并使用不带cookie的websockets对我的网站进行身份验证。这意味着刷新会将用户注销。在sessionStorage上存储密码有多糟糕,所以他们可以在会话期间刷新? (用户名将在localStorage中,我不希望完整登录在会话之间保持不变。)
谢谢!
编辑:
我更感兴趣的是,是否存在以这种方式存储的实际安全风险。它是否比Chrome在明文中存储密码或cookie如何未加密更安全?
答案 0 :(得分:1)
您是在尝试避免使用本地存储,还是仅使用Cookie?
您可以在会话存储中存储会话ID,并使用该会话ID对用户进行身份验证,但在任何情况下都不会存储用户密码明文。
答案 1 :(得分:0)
我认为您不想存储密码。您可以生成会话令牌并将其存储在sessionStorage中。无论如何,如果您自己存储密码,请不要将其存储为纯文本。
答案 2 :(得分:0)
您要做的是...在您的服务器上创建一些哈希值,并将其保存在localStorage上。
在每个请求上发送此哈希值,服务器应验证/处理它,并使用相应的凭据进行响应。
但这也不像你想要的那样安全,所以......你可以每x分钟更改一次哈希,或者在X分钟无效后让它超时。 / p>
永远不要存储纯文本密码,也不要在客户端包含哈希算法。