Rag*_*esh 15 javascript authentication html5 offline
我正在构建一个需要脱机工作的Web应用程序.该系统用于捕获销售交易.大部分"离线"部分相当简单 - 我只需要在本地存储数据并在我回到网络时同步它.到现在为止还挺好.
问题在于身份验证.该应用程序将在具有单个OS用户帐户的共享计算机上运行.如果我处于离线状态,我该如何对用户进行身份验证?
用户自己没有我需要隔离的任何私人数据(即,我不必在客户端上彼此保护它们).我需要能够验证他们的密码,这样即使连接断开,我也可以让不同的用户全天登录.
我正在考虑的一种方法是在IndexedDB中在客户端缓存密码哈希.只允许一组有限的用户从特定的共享计算机登录,因此我不需要在本地缓存我的整个密码数据库.假设我有一个良好的密码策略(复杂性和到期要求),并且哈希本身是安全的(bcrypt),这个想法多么可怕?
我还有其他选择吗?
小智 11
当机器无法访问域控制器时,这实际上是Windows(和其他系统)的工作方式(例如,您将工作笔记本电脑带到飞机上,需要无需连接即可登录笔记本电脑).您的计算机已写下您的用户名|密码对的缓存,即使脱机也会通过这些凭据通知您.
我认为一般来说存储用户名|密码哈希是非常安全的,假设你合理地散列它们(例如,使用盐,使用IV等).您需要考虑的一个曝光是将哈希文件"转义".如果这是敏感数据,你会非常小心 - 这甚至可能是不可接受的,但如果它不是超敏感数据,那么你可能没问题:好的哈希我觉得你应该合理(但肯定不是)完全)安全.