1
我應該在JavaScript應用程序中將客戶機密鑰存儲到以防止其他用戶訪問它?我特別的用例是AngularJS SPA。我應該在JavaScript應用程序中存儲客戶機密碼
客戶機密鑰是在登錄時生成並傳回客戶機的guid,在15分鐘不活動後過期。
考慮到我的密鑰的性質,我應該關心它嗎?
A
回答
1
2件事:
一:你不能。在他們這邊,任何有權訪問的人(在該用戶登錄時訪問計算機)和知識將能夠看到它。以及攔截從客戶端到服務器的傳輸的任何人(如果您不使用https)。
二:如果您正確實施它,則沒有必要。
- 意義是否會再次有效,過期後還是一次性*?
- 它是否在服務器上的另一半進行身份驗證?
*通過一次,我的意思是一個GUID應該是全球唯一的。您是否每次都爲每個用戶使用相同的GUID,或者您是否在使用相同的GUID,並在下次爲其分配新的GUID?如果第一個你有問題。
如果你做所有這些事情,那麼你真的不需要擔心它。
+0
我很難將你的第二件事情轉化爲具體的行動。技術約束意味着客戶機祕密將像會話令牌一樣行動,其中到期會隨着活動而延長。如果您知道如何將客戶機密實施爲一次性服務,那將不勝感激。我正在做第二點。我不明白第三點如何相關。 –
+0
@ ton.yeung編輯,抱歉,關於第三點我誤解您的原始文章中的東西。 – Ryan
+0
每次用戶登錄時,我都會生成一個guid。每當經過身份驗證的用戶點擊api時,我都會檢查該令牌,如果存在,我會延長超時時間。超時後,令牌被刪除,用戶必須重新進行身份驗證,才能獲得新的GUID。一切都落後於ssl。我應該很好? –
相關問題
- 1. 我應該在電子應用程序中存儲OAuth客戶機密鑰?
- 2. FourSquare:我應該在哪裏存儲我的客戶機密?
- 3. 將密碼存儲在客戶端應用程序中C
- 4. Azure應用程序客戶端機密
- 5. 在Android應用程序中存儲用戶名和密碼
- 6. 我應該如何存儲密碼?
- 7. 我應該混淆Android應用程序存儲的OAuth使用者密碼嗎?
- 8. 存儲iOS應用程序的用戶密碼和用戶名
- 9. 如何在我的Qt應用程序中存儲密碼?
- 10. Web應用程序 - 存儲密碼
- 11. 我是否應該在我的iOS或Android應用程序中硬編碼存儲加密密鑰
- 12. 在Java Web應用程序中,我應該在哪裏存儲用戶照片?
- 13. 我應該有密碼在我的應用程序
- 14. 我應該如何將API密鑰存儲在Python應用程序中?
- 15. 我應該在哪裏存儲我的Node.js應用程序的密鑰?
- 16. 我應該在哪裏存儲會話代碼在Rails應用程序中?
- 17. 在開源應用程序中存儲保存的密碼
- 18. Android應用程序存儲和呼叫用戶名和密碼
- 19. 如何爲多用戶應用程序本地存儲密碼?
- 20. 我應該在哪裏存儲我的javascript程序的設置?
- 21. Phonegap db加密:我應該在哪裏存儲密碼?
- 22. 我應該如何將用戶的LDAP密碼存儲在cookie中?
- 23. 我應該在客戶端代碼中存儲什麼作爲我的索引?
- 24. 什麼我應該使用密鑰存儲關於應用程序?
- 25. 我應該在哪裏存儲C#應用程序的數據?
- 26. 2FA密碼應該散列存儲嗎?
- 27. 什麼應該存儲在緩存中的Web應用程序?
- 28. SPA應用程序中的Azure Active Directory客戶機祕密
- 29. 在iPhone應用程序的代碼中存儲OAuth密鑰
- 30. 如何在Winforms應用程序中存儲密碼?
總是可以使用'localStorage' – tymeJV
你是什麼意思「其他用戶」?你究竟想要防範什麼? –
您通過HTTPS發送它,並確保您沒有任何XSS漏洞。 – Paulpro