我正在尝试使用PouchDB和客户端Javascript。PouchDB网站上的示例非常适合我:http : //pouchdb.com/getting-started.html。我的问题是,当我连接到远程服务器时,有什么方法可以掩盖用户名和密码吗?有问题的代码:
var remoteCouch = 'http://user:[email protected]/todos';
这是所有客户端JS,可以公开查看。我很想办法解决它。
在服务器之间进行通信时,可以使用SSL保持安全。客户端和服务器在发送有关请求的任何数据(即文件名,基本身份验证凭据等)之前建立安全连接。
至于客户端的安全性,更多的是您要确保安全性的问题。由于所有内容都是JavaScript,尤其是PouchDB,因此您必须满足以下两个条件之一
花哨的开关可以显示菜单或隐藏菜单
在这种情况下,您将拥有一个包含所有重要菜单的主屏幕。用户或者提供正确的密码,然后将其带到该屏幕,或者程序显示“错误的用户名或密码错误”。但由于全部使用JavaScript,因此任何对您的系统有足够了解的人都可以说MyApp.User.isLoggedIn = function() { return true; };。
加密您需要的内容
如果客户端上有敏感数据,则可以要求他们提供密码并使用该密码加密敏感数据。根据有效负载,它可能会或可能不会占用过多的性能。在这种情况下,您可能必须实现自己的会话,因此不必最终在内存中保留该密码或敏感数据。然后,夏娃要做的就是去JS控制台并点击console.log(MyApp.User.password);。即使密码是经过哈希处理和加盐处理(或应该加密)的,Eve仍可能有权使用哈希功能和盐处理。
祝好运!很想听听您的想法。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句