密码保护 HTML5 离线应用程序目录

Question

我有一个可以离线运行的 HTML5 应用程序。但是，我需要密码保护这个应用程序所在的目录，只允许授权用户访问。最初我使用的是一个 PHP 登录页面，它设置了一个 cookie（在应用程序目录之外），然后重定向到应用程序目录。应用程序 (JavaScript) 会检查 cookie，如果它在那里，它会让用户运行应用程序。如果没有，它会将它们重定向回应用程序目录。

这种方法的问题是，如果直接引用，目录中的所有文件仍然可以访问（我不希望这样做）。我不希望用户每次访问目录时都必须进行身份验证（这是一个一次性的身份验证过程；cookie 就在那里，这样他们就不必再次输入用户名/密码），而且我也想要一个风格化的登录表单（即不使用默认浏览器登录框进行 http 身份验证）。

最后，因为这是一个离线的 HTML5 应用程序，我不能在应用程序本身中包含任何 PHP 代码。

有什么建议吗？

Answer 1

这听起来不像是你可以用 Javascript 做的事情。该脚本需要访问文件系统才能限制对文件夹的访问，不是吗？

除非浏览器通过 javascript API 公开此功能，否则我认为这是不可能的。听起来这将是一个有用的功能。

也许您可以加密重要数据，但除了减慢应用程序的速度之外，我不确定它会有什么好处，因为所有必要的密钥也必须存储在本地......

由于网络安全的一般规则是，如果没有对服务器端进行仔细检查，您永远不能依赖客户端发生的任何事情（例如，在 Javascript 中），当应用离线运行，服务器端不可用:(

查看“如果 cookie 存在则进行 Javascript 重定向”问题，除非我弄错了，否则恶意用户编辑 Javascript（例如使用 Firebug）在任何情况下都进行重定向是微不足道的。

编辑：顺便问一下，您需要什么级别的安全性？ “妈妈将无法意外访问我的帐户”级别（听起来您已经做到了），或者“除了 NSA 之外，没有人应该能够破解它”级别？