fre*_*ver 5 javascript couchdb pouchdb
我正在尝试 PouchDB 和客户端 Javascript。PouchDB 网站上的示例对我来说非常有用:http ://pouchdb.com/getting-started.html 。我的问题是,当我连接到远程服务器时,有什么方法可以隐藏用户名和密码吗?有问题的代码:
var remoteCouch = 'http://user:pass@mname.iriscouch.com/todos';
这都是客户端 JS 并且可以公开查看。我很难找到解决办法。
当您在服务器之间进行通信时,可以使用 SSL 来保证安全。客户端和服务器在发送有关请求的任何数据(即文件名、基本身份验证信用等)之前建立安全连接。
至于客户端上的内容,更多的是您想要多安全的问题。由于一切都是 JavaScript,尤其是 PouchDB,因此您必须满足以下两件事之一
拥有一个可以显示菜单或隐藏菜单的精美开关
在这种情况下,您将拥有一个包含所有重要菜单的主屏幕。用户要么提供正确的密码,将他们带到该屏幕,要么程序显示“错误的用户名或密码错误”。但由于它都是用 JavaScript 编写的,任何对系统有足够了解的人都可以说类似MyApp.User.isLoggedIn = function() { return true; };.
加密您需要的内容
如果客户端有敏感数据,您可以要求他们提供密码并使用该密码加密敏感数据。根据有效负载的不同,它可能会也可能不会过于注重性能。在这种情况下,您可能必须实现自己的会话,这样您最终就不会将该密码或敏感数据保留在内存中。然后 Eve 所要做的就是转到 JS 控制台并点击console.log(MyApp.User.password);。即使密码被散列和加盐(或应该),Eve 可能仍然可以访问散列函数和盐。
祝你好运!很想听听你的想法。
| 归档时间: |
|
| 查看次数: |
1973 次 |
| 最近记录: |