Android/iOS(およびそれ以降のWindows Phone)を対象とするWebアプリケーション(HTMLおよびJavascriptで開発された)にサードパーティサービスとの統合を追加したいと考えています。したがって、私はすべての「現代的」な機能にアクセスできます。このサードパーティサービスは資格情報を必要とし、GET-Parametersを介して制御されます。
たとえば、リクエストURLは「http://www.example.org/foo?username=user & password = 1234」のようになります。Javascriptを使用してログイン資格情報を保存するには?
ハッシュ化されたパスワードを受け入れるようにサードパーティのサービスを変更することは、アクセス権がないためオプションではありません。
サービスを使用するたびに、またはアプリケーションを起動するたびにユーザ名とパスワードを入力したくないので、私は彼の認証情報をどうにか保存したいと思います。
今、私はそれを行うための最善の方法は不思議です。
本当の "セキュリティ"はここの錯覚だが、私はそれらを間違った方法で保存することで、不要なリスクにクレデンシャルを公開したくないということを知っている。
私はすでにいくつかの方法
- プレーンクッキーについて考えた:最も 簡単な方法 - それは、このシナリオでは、十分な を「確保」とは?
- DOM-Storage: さんの関係のCookieとの違いはありますか?
- 暗号化されたクッキー: 資格情報は暗号化されますが、 ページ のソースコードを見たり、それをデバッグするとき、あなたが簡単にキー を見つけることができます。
どちらを選択すればよいですか?より良い方法はありますか?
それが実際にそれに価値があるencrpytionで気になっているのは、それが簡単にひび割れることができますか?
はい - サードパーティサービスはhttpsを使用します。しかし、私は*変更することはできません - 私は本当にセッション識別子だけを格納することをお勧めします。しかし、それは不可能です。 – Matthias
@ winSharp93:認証にバックエンドプロキシを使用する場合は、ユーザ名/パスワードをクライアントに公開する必要はありません。 –
不可能です。私は普通のHTML/Javascriptファイルを私のサーバにアップロードすることしかできません。 – Matthias