我正在开发一个密码管理系统,用于存储一堆服务的密码(gmail,美国银行帐户,youtube等)。用户可以通过登录我的应用程序来启动这些服务。然后,应用程序将在新选项卡中将与该服务关联的用户名和密码POST到该服务的登录URL,您将立即登录。我的问题是,此方法将用户的实际密码暴露给客户端(因为我创建一个包含用户名和密码的表单,纯文本,隐藏字段和调用form.submit。我想知道有没有其他方法可以实现这一目标?所有密码管理网站如何运作?感谢您的帮助。
答案 0 :(得分:0)
服务器方面,我还能说什么?无论如何,我只能将此视为一种学习体验,而不是最终会投入生产的事物。 cUrl可能是一个好的开始。你为什么还要使用form.submit?
答案 1 :(得分:0)
如果您正在考虑访问网关(http),则在访问管理术语方面称为“formfill”。如果您正在考虑浏览器插件,请查看firefox自动填充插件。最终减少到单点登录。 单点登录的方式不同, -
无论您使用什么,如果它是服务器端应用程序(例如Appache支持formfill),它会根据表单名称或资源路径解析所有表单,并根据用户的经过身份验证的会话填充凭据。