通过 Angular 将用户数据存储在 localStorage 中是否安全?

【问题标题】:Is it safe to store user data in the localStorage through Angular?通过 Angular 将用户数据存储在 localStorage 中是否安全?
【发布时间】:2020-06-28 21:24:32
【问题描述】:

我是 Angular 世界的新手,我正在尝试构建我的第一个 Angular 应用程序,目前我不知道在 localStorage 中存储用户数据是否安全,如果不是,我应该怎么做才能保存它?我正在使用 cookie 会话。

这就是我的后端代码的工作方式(这里只有身份验证和授权部分):

const express = require('express');
const session = require('cookie-session');
const crypt = require('bcryptjs');
const config = require('../config');
const router = express.Router();
const users = require('../models/users');
const app = express();

app.use(session({
    name: 'session',
    keys: config.keys,
    secret: config.sessionkey,
    cookie: {
        secure: false,
        httpOnly: true,
        path: 'cookie',
        expires: new Date(Date.now() + 60 * 60 * 1000 * 24 * 365)
    }
}));

router.get('/', (req,res)=>{
    if(isAuthenticated(req)){
        res.send(req.session.user);
    } else {
        res.send({"message":"Authenticate first."});
    }
});

router.post("/login", (req, res) => {
    const email = req.body.email;
    const userpass = req.body.userpass;
    users.findUserByEmail(email,function(user){
        if(crypt.compareSync(userpass,user[0].userpass)){
            req.session.user = user;
            res.send(user);
        }
    });
});

router.post("/logout", (req,res)=> {
    req.session = null;
    res.redirect("/");
});

router.post("/register", (req, res) => {
    var user = { "username": req.body.username, "userpass": crypt.hashSync(req.body.userpass, 10) , "email": req.body.email, "birthDate": req.body.birthDate };
    users.createUser(user,(err)=>{
        if(!err){
            res.send({ "message":"Login" });
        } else {
            res.send({ "message":"Something went wrong during registration please retry." });
        }
    });

});

router.post("/unregister", isAuthenticated, (req, res) => {
    var email = req.body.email;
    if(isAuthenticated(req)){
        users.findUserByEmail(email,function(user){
            if(req.session.user == user){
                if(crypt.compareSync(req.body.userpass,user[0].userpass)){
                    req.session = null;
                    users.deleteUserByEmail(email,function(err){
                        if(err){
                            res.send({ "message":"Something went wrong while deleting the user please retry." });
                        } else {
                            res.send({ "message":"User deleted successfully" });
                        }
                    });
                }
            }
        });
    } else {
        res.send({ "message":"Authenticat first." });
    }
});

function isAuthenticated(req){
    return req.session.user != null;
}

module.exports.app = app;
module.exports.Router = router;
module.exports.isAuthenticated = isAuthenticated;

正如您所看到的,当用户正确登录时,我只是将存储在数据库中的用户数据按原样发送给他(显然没有用户密码),那么我应该怎么做才能在 angular 端进行安全会话?

【问题讨论】:

    标签: node.js angular authentication cookies authorization


    【解决方案1】:

    你应该使用JWT在服务器和客户端之间交换身份验证数据如果你是新的JWT想法,你可以在intro中读到一点,使用JWT你将有能力阅读它在客户端(Angular)中并将其保存到localStorage,并且不用担心它的安全性,因为它毕竟是一个哈希,即使有人可以读取它的内容,他/她也无法修改它,因为它只能由您在服务器中的安全密钥/签名生成。

    当然,您必须将 jwt 令牌与每个请求一起发送到您的服务器,而在 Angular 中,使用 interceptors 很容易实现这种方法。

    这是一个complete example,演示了 JWT 与 Angular 和 NodeJS 的使用。

    【讨论】:

    • 那么将其用作授权系统也安全吗?
    猜你喜欢
    • 1970-01-01
    • 2016-05-07
    • 1970-01-01
    • 2011-01-01
    • 2010-12-19
    • 2015-07-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode