在 HTML5 LocalStorage 中存储 API 凭据

【问题标题】:Storing API credentials in HTML5 LocalStorage在 HTML5 LocalStorage 中存储 API 凭据
【发布时间】:2023-03-08 00:39:01
【问题描述】:

是否可以在 HTM5 LocalStorage 中存储用户客户端的 api 凭据?这似乎是安全的,因为 LocalStorage 是由 schema:host 沙盒化的,显然仅限于客户端。如果我们在存储到 LocalStorage 之前也对 api 凭据客户端进行加密呢?

【问题讨论】:

  • 似乎与出于相同目的使用 cookie 并没有太大区别……但客户端加密听起来毫无用处,因为密钥有时也必须传输到客户端。与 cookie 一样,您不应存储用户的实际凭据,而应存储某种令牌,以便在合理的时间范围内再次访问时允许再次访问,这是服务器生成的。
  • 为什么用户的硬盘不如他们的屏幕安全?

标签: javascript html security local-storage


【解决方案1】:

这取决于 API 的性质。

对于其他有权访问同一设备的用户来说,这些凭据是不安全的。

但是,如果您正在处理需要零安全要求或仅要求极低安全要求的场景,则使用 localStorage 可能会奏效。

关于 localStorage 数据的加密 - 认识到您实际上只是在混淆,而不是保护。由于必须将加密密钥传递给客户端,因此您可以期望的最好结果是,如果有人可以访问机器,那么找到 API 凭据的难度会(稍微)增加一些。

【讨论】:

    猜你喜欢
    • 2011-10-04
    • 2018-08-13
    • 2011-03-06
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode