我可以安全地使用本地存储而不是 cookie 来存储会话凭据吗?
我需要存储一个加密的哈希吗??
编辑:这是否足够安全?
用户登录。
服务器返回成功消息,包括加盐 bcrypt 哈希混合用户 ID、密码、时间戳和可能的 IP 地址。这保存在本地存储中。
在将来的连接中发送此哈希,只要 IP 地址未更改且时间限制未过期,服务器就会承担责任。
【问题讨论】:
标签: javascript security html encryption local-storage
如果您打算使用 localStorage 而不是 cookie,则可以使事情比 cookie 更安全。那是因为您不需要在每个请求中都向服务器发送会话 ID,使其成为不记名令牌。相反,您可以在客户端将用户密码存储在 localStorage 中,并使用它来签署您的请求,此外还会发送相应的公钥并用作会话 ID。这样,服务器端或代理上的任何人都无法伪造您的请求。
【讨论】:
如果您要使用本地存储,为什么要存储用户凭据或从它们派生的任何内容?
我一直在考虑做的是:
成功登录后,生成一个与用户凭据无关的完全随机字符串,并将其与到期日期一起存储在数据库中。然后我会将该字符串传递给我的 js 以存储在本地存储中。
从那时起,只要该本地存储凭据与数据库一匹配并且超时未过期,我就会自动认为他们已登录。
这样,就不会存在从本地存储中泄露用户凭据的风险。但是,由于这个临时的唯一字符串本质上用作 sessionID,您仍然需要注意并采取预防措施来防范与会话劫持相关的风险。
无论如何,我的理解是本地存储与您网站背后的服务器一样安全。我的意思是本地存储只能通过通过您自己的域进入的脚本访问,因此只要运行的唯一前端代码是您自己的,您就很安全。
【讨论】:
您的服务器应生成一些令牌 - 无法用于发现用户名/密码的唯一(对于服务器)数据。只有该令牌可以以任何形式存储在用户的机器上。 localStorage 和 cookie 都不安全。因此,在这方面,同样的规则也适用于他们。
您应该有一些方法使此类令牌过期,否则一旦被盗,此类令牌就可以用来代替真实凭据。
【讨论】:
localstorage 和 cookie 一样容易被 JavaScript 读取。
localstorage 可以使用 same 域中的 JavaScript 读取,如果您控制域上的所有 JS,那么这应该不是问题。但是如果执行了任何其他代码(例如通过注入,或者如果您与其他人共享域),他们将能够访问存储数据。
这与 cookie 相同,但通常 cookie 设置为 HTTPOnly,因此 JavaScript 无法读取它。
在任何一种情况下,纯文本登录信息都不应该存储在 cookie 或本地存储中,就好像有人确实掌握了它们一样,他们可以不断地为自己创建一个新会话。
您应该加密经过身份验证的标识符(例如他们的用户 ID)以及会话到期的日期时间,然后将此值存储在 cookie 或本地存储中。然后在每次服务器调用时验证此令牌。
【讨论】: