在Javascript客户端中隐藏基本身份验证凭据
我需要从客户端javascript代码生成一个ajax请求,使用jQuery将一些数据发布到后端在Javascript客户端中隐藏基本身份验证凭据,javascript,api,security,client,basic-authentication,Javascript,Api,Security,Client,Basic Authentication,我需要从客户端javascript代码生成一个ajax请求,使用jQuery将一些数据发布到后端 $.ajax({...}); Javascript代码可以由各种客户端嵌入,因此我在后端启用了CORS,请求可以正常进行。 后端由Basic Auth保护,Auth头存储在javascript客户端中 我如何保护我的后端,以便只有我的客户端才能发布数据并阻止其他人这样做。您不能用JavaScript存储机密。如果用户至少无法访问用户名和密码(F12调试工具),则无法保留用户名和密码。即使要使用,您
$.ajax({...});
Javascript代码可以由各种客户端嵌入,因此我在后端启用了CORS
,请求可以正常进行。
后端由Basic Auth
保护,Auth头存储在javascript客户端中
我如何保护我的后端,以便只有我的客户端才能发布数据并阻止其他人这样做。您不能用JavaScript存储机密。如果用户至少无法访问用户名和密码(F12调试工具),则无法保留用户名和密码。即使要使用,您仍然需要将密钥存储在客户端上易于发现的某个位置 即使您信任用户,攻击也可能会将此用户名和密码信息泄漏给攻击者
这就是为什么OAuth 2.0在一个应用程序中使用短期访问令牌来处理公共客户端。您不能用JavaScript存储机密。如果用户至少无法访问用户名和密码(F12调试工具),则无法保留用户名和密码。即使要使用,您仍然需要将密钥存储在客户端上易于发现的某个位置 即使您信任用户,攻击也可能会将此用户名和密码信息泄漏给攻击者 这就是为什么OAuth2.0在一个应用程序中使用短期访问令牌来处理公共客户机的原因