Tôi đang lên kế hoạch đăng nhập an toàn trong một trang web không được mã hóa ssl bằng cách lưu tên người dùng/mật khẩu do người dùng nhập vào biến javascript.Cách lưu trữ mật khẩu trong angularjs an toàn
Mỗi khi người dùng thực hiện yêu cầu, ứng dụng của tôi trước tiên sẽ yêu cầu mã thông báo từ máy chủ, sau đó kết hợp nó với $ scope.password được lưu trữ, được băm sau đó được gửi tới máy chủ để xác thực. Nếu xác nhận là chính xác, thì yêu cầu sẽ tiếp tục, nếu không nó sẽ bị dừng lại.
Ngoài ra, mỗi lần xác thực được thực hiện, máy chủ sẽ tạo một mã thông báo mới, cho dù nó có hợp lệ hay không. Theo hiểu biết của tôi, nó sẽ an toàn nếu tôi sử dụng các chức năng ngay lập tức, nhưng vì tôi sẽ sử dụng angularjs, tôi không nghĩ rằng nó là có thể, vậy làm thế nào để đảm bảo rằng tên người dùng/mật khẩu được lưu trữ trong bộ nhớ không thể hack được?
Cảm ơn.
Giữ mật khẩu thô ở phía máy khách ** không bao giờ ** an toàn. Vấn đề của bạn có vẻ như bạn đang sử dụng mật khẩu làm hạt giống cho băm. Bạn không thể chỉ yêu cầu máy chủ cho một hạt giống "ngẫu nhiên" (nghĩa là duy nhất cho mỗi người dùng) và lưu trữ ở phía khách hàng? – freakish