[英]How to properly secure password in AngularJS
我最近阅读了以下关于AngularJS应用程序中的身份验证技术的 文章 。 他的概念与我通常接近这个过程的方式非常相似,但密码以明文方式绑定到控制器的方式对我来说似乎是一个安全漏洞,我想知道有什么更好的方法来解决这个问题?
<input type="password" id="password" ng-model="credentials.password">
我认为,一种方法是加密控制器上的绑定密码? 有没有办法做到这一点?
我讨论了5美分:
1)仅当您的登录视图存在时,控制器才存在。 提交登录信息后,通常会更改视图,从而破坏控制器。
2)即使它在整个会话期间都存在,也需要使用相当复杂的xss方案来获取数据。
3)此外,您还有许多项目可以进一步降低风险:
使用https
在服务器端使用签名的服务器证书
(如果您使用https,那么浏览器不应该允许您向http资源发出ajax调用,如果证书不是sigend并且没有为该站点添加例外,则https请求将失败)
4)最后,如果服务器支持,您可以考虑使用oAuth进行身份验证。
5)Ofc。 这一切都取决于您的应用程序所需的安全级别。 如果你真的担心有人拿到密码,当一个人离开机器时,应该考虑不同的身份验证方法,例如:客户端证书(在智能卡上)或额外的一次性代码,或者某种东西类似。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.