Javascript 在本地存储中存储HTTP基本授权头是否存在安全问题？

我正在构建一个访问私有API的web应用程序。我正在使用的API在TLS上使用HTTP基本身份验证。我的客户端已请求web应用的“记住我”功能，以便用户可以在给定设备上保持持久身份验证

我的快速而肮脏的解决方案是在验证后将

授权

头存储在

localStorage

中。当然，如果能够完全访问用户的设备，任何人都可以从

localStorage

复制auth头并对其进行解码以检索用户的登录/密码组合

除了设备整体受损外，将此类敏感数据存储在

localStorage

中是否还有其他安全隐患？

localStorage

是否可以作为密码等敏感数据的存储？如果不是，您将如何在单个浏览器会话之外将这些数据持久保存在用户设备上

（我希望每个人都能使用自己的私钥……密码都是90秒）

---

编辑阅读后，似乎很明显，将敏感数据存储在

本地存储

中通常是一个坏主意，但在这种情况下，有什么更好的方法可以持久化身份验证？

我认为在用户端存储与登录或密码相关的内容是一个坏主意

但是一旦用户登录，您就可以在用户端和数据库中存储一个随机字符串（例如随机哈希）。当用户返回时，您可以比较两者，如果它们相同，您可以登录用户。您可以要求用户输入敏感操作的密码（更改密码或登录等）。因此，即使散列被窃取，也没有人能够完全访问该帐户

---

编辑：此概念已用于。我从未用localStorage测试过它

---

• [html]相关文章推荐

• Html 动态CSS背景URL htmlcss
• 嵌入最新flash的jwplayer带有html5后端，不能隐藏控件或添加自动播放和循环 htmlloops
• Html Can'；第n个术语不起作用 htmlcssresponsive-design
• Html 为什么不是'；这个部门不是居中吗？ htmlcss
• Html 如何选择div代替复选框？ htmlcheckbox
• 当浏览器缩放时，如何保持可重复的html背景图像大小不变？ htmlcss
• Html 为什么背景尺寸：封面在手机上的作用不同？ htmlcss
• Html 填充不起作用，但边距起作用 htmlcss
• Html 获取下拉列表时遇到问题'；s已选择li以保持悬停状态 htmlcss
• Html VBscipt日期格式 htmloraclevbscriptasp-classic
• HTML/CSS仅垂直移动段落/标题中的部分文本 htmlcss
• Html 如何在网站上使用泰语网页字体？ htmlcssfontscharacter-encoding
• Html 将导航栏菜单与页面中间对齐 htmlcsstwitter-bootstrap
• 如何在Safari中将HTML元素打印为页面？ htmlcssprintingsafari
• Html 如何使用CSS设置固定宽度？ htmlcss
• Html 如何在文本顶部设置ol列表编号？ htmlcsssass
• Html 引导4-栅格1和栅格2改变位置 htmlcssbootstrap-4
• 如何将字符串转换为角度链接，并将链接嵌套到HTML中 htmlangular
• 如何执行反映我使用PHP所做更改的html？ html
• Html CSS元素赢得'；别动 htmlcsstesting

---

• 随机文章推荐

• Gatsby 旧纪录仍显示神智健全 gatsby
• 如何从gatsby wordpress获取100多个已获取的数据结果 gatsby
• Gatsby 使用盖茨比图像而不使用GraphQL？ gatsby
• Gatsby 盖茨比-加载特定于页面的样式 gatsby
• Gatsby 如何在盖茨比frontmatter中使用单引号？ gatsby