Sto pianificando di eseguire un accesso restful in un sito crittografato non SSL archiviando il nome utente/password immesso dall'utente nella variabile javascript.Come archiviare la password in angularjs in modo sicuro
Ogni volta che l'utente fa una richiesta, la mia app richiede prima un token dal server, quindi lo ha combinato con $ scope.password, hash quindi inviato al server per la convalida. Se la convalida è corretta, la richiesta continuerà, altrimenti verrà interrotta.
Inoltre, ogni volta che viene eseguita la convalida, il server crea un nuovo token, indipendentemente dal fatto che sia valido o meno.
Secondo la mia conoscenza, sarebbe sicuro se utilizzo le funzioni immediate, ma visto che userò angularjs, non penso sia possibile, quindi come faccio a garantire che il nome utente/password memorizzati in la memoria non è hackerabile?
Grazie.
Mantenere la password non elaborata sul lato client è ** mai ** sicuro. Il tuo problema sembra che tu stia usando la password come seme per l'hashing. Non puoi semplicemente chiedere al server un seme "casuale" (cioè univoco per utente) e archiviarlo sul lato client? – freakish