Javascript 在HTML5本地存储中存储API凭据

可以在HTM5 LocalStorage中存储用户客户端的api凭据吗？它看起来很安全，因为LocalStorage是由schema:host和client-only进行沙盒处理的。如果我们在存储到LocalStorage之前还加密客户端的api凭据呢？

这取决于api的性质

对于具有相同设备访问权限的其他用户，凭据将不安全

但是，如果您使用的场景不需要或只需要最低限度的安全要求，那么使用localStorage就可以了

---

关于本地存储数据的加密，请认识到您实际上只是在混淆，而不是保护。由于必须将加密密钥传递给客户端，因此，如果有人可以访问计算机，您最好的希望是让查找API凭据变得更加困难。

与使用cookie实现相同目的似乎没有太大区别……但客户端加密听上去毫无用处，因为密钥也必须在某个时候传输到客户端。与Cookie一样，您不应该存储用户的实际凭据，而应该存储某种令牌，允许在合理的时间范围内进行后续访问时再次访问，这是服务器生成的。为什么用户的硬盘驱动器不如其屏幕安全？