Безопасно ли хранить электронную почту и пароль в состоянии компонента для обработки входных значений? - PullRequest
Новая
       27

Безопасно ли хранить электронную почту и пароль в состоянии компонента для обработки входных значений?

1 голос
/ 24 мая 2019

Я создаю очень большой проект веб-сайта в ReactJS, который обрабатывает деньги, поэтому я немного параноик, когда говорю о безопасности.

У меня есть компонент Login, состояние которого состоит из "email" и "пароля"».Эти значения заполняются путем ввода в соответствующее поле ввода.Фактическая структура входа в любом случае очень безопасна, потому что я использую jwt с открытым и закрытым ключом и токеном CSRF.

Моя проблема в том, что я не знаю, насколько безопасно хранить электронную почту и пароль в локальномгосударство.Может ли он быть легко доступен с помощью межсайтовых сценариев или он может быть виден только с помощью расширения React Chrome?Из того, что я знаю, государство не должно быть постоянным.Кто-нибудь может решить мои сомнения?

(пожалуйста, не ненавидите меня за некоторые английские ошибки, я итальянец, так что "mamma mia pizzeria")

1 Ответ

1 голос
/ 24 мая 2019

для хранения электронной почты и пароля в местном штате

Это очень плохая идея. Хранение конфиденциальных данных на клиенте всегда рискованно, так как их можно получить с помощью инструментов разработчика. Это будет много времени, но достижимо. А поскольку ваш продукт имеет дело с деньгами, вы должны быть параноиком.

Лучшим способом было бы создать форму входа в систему и в случае успеха отправить CSRF_TOKEN или любой хэш. Сохраните этот хэш и проверьте его для каждого запроса вместе с IP-адресом или любым другим уникальным сгенерированным значением.

В идеале вы не должны сохранять UserName/Email и Password. Если вы хотите отобразить имя пользователя или имя пользователя для приветствия, сохраните свойство Nickname в классе User и используйте его. Таким образом, вы не раскрываете никакой важной информации.

Email также является важной информацией, так как кто-то может отправить электронное письмо с рыбалкой и обманным путем дать пользователю важную информацию. Вы можете посмотреть на Secure Cookies и другие способы, но хранение в локальном государственном / локальном хранилище всегда плохо

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Похожие темы

...