在 OOTB 登录时隐藏浏览器中显示的用户凭据

Hide user credentials shown in the browser while OOTB login

有没有办法在 OOTB 登录时隐藏浏览器中显示的用户凭据? 如下所示,在浏览器中显示检查用户凭据时,这引发了安全问题。

这不是问题。

(我当然假设您使用的是 https

是的,您以明文形式提交用户名和密码,但它是通过加密连接传输的。

互联网就是这样运作的。

不相信我?转到您银行的网站、亚马逊...并在浏览器开发工具中监控流量。

您将看到完全相同的行为。

隐藏用户凭据的方法有很多种。

如果站点是通过 HTTPS 传送的,那么所有传输都将被加密,您可能无法在浏览器中看到用户名和密码(对此不能 100% 确定)。

其次,您可以使用某种方法对用户名和密码进行加密,然后在您的服务器上对其进行解密。例如使用 JavaScript atob 函数的 base 64 编码。但是,对于任何知情人士,他们都可以轻松解码它,因此您可能想要更高级的东西。当然你会想要比 base 64 编码更高级的东西,尽管它可能会安抚你的老板。

第三,你可以使用 JWT 之类的东西。您发送用户名并将 HTTP 登录请求传递给您的服务器。服务器检查凭据,如果有效 returns cookie。 cookie 应该仅为 HTTP。您应该使用服务器的 Set-Cookie 响应 header 设置 cookie。这是最安全的方法。当以这种方式设置 cookie 时,它​​会在所有后续请求中自动发送到该域(直到它根据您在服务器上创建它时设置的到期时间到期)。此外,Javascript 无法访问它,只有您的服务器可以访问它 - 使其非常安全。在所有传入请求(登录请求除外)中,服务器检查令牌并检查其有效性。

希望这对您有所帮助。 J - E - S - U - S 爱你:D