Аутентификация - учетные данные входа в систему, представленные в инструментах разработчика Chome

Question

Меня спросили о том, как можно иметь учетные данные для входа (имя пользователя и пароль) на стороне клиента, чтобы они были безопасными и не отображались на вкладке сети инструментов разработчика Chrome. Существует множество ответов о том, что это невозможно, поскольку это на стороне клиента, поскольку, если мы используем HTTPS, злоумышленники не смогут просматривать поток данных от клиента к стороне сервера в виде простого текста.

Итак, я попытался зайти на некоторые банковские сайты и проверил поток в сети. Я обнаружил, что имя пользователя и пароль выглядят так, как будто они зашифрованы, хешированы или закодированы. Один из банковских сайтов использует OAuth 1.0, с которым я не знаком. Мне интересно, как можно не показывать учетные данные в виде обычного текста. Какие технологии они обычно используют?

Answer 1

Часто основной формой передачи учетных данных является базовая схема авторизации, где имя пользователя и пароль объединяются, затем кодируются в base64, а затем отправляются в HTTP-заголовке Authorization запроса, например, в JavaScript, задайте Authorization заголовок к:

Basic + ' ' + btoa(username + ':' + password);

Обратите внимание на ':' между именем пользователя и паролем.

См. эту статью .