問(wèn)題描述

后臺(tái)系統(tǒng)，用h5本地存儲(chǔ)將用戶token存儲(chǔ)下，每次請(qǐng)求帶上token，這樣安全嗎？

問(wèn)題解答

提到安全，你需要知道你的對(duì)手是誰(shuí)，你防范的是怎樣的情況。

localStrorage 存 token 然后手動(dòng)帶上，不如放 cookie。

如果是敏感信息，你在防誰(shuí)呢？

要么你在防用戶。那么你不把數(shù)據(jù)傳給用戶就行了嘛。如果你只是想提高對(duì)抗的成本的話，也可以 AES 什么一下。

要么你在防木馬，或者傳聞掃用戶硬盤的流氓軟件。這個(gè)也是防不勝防，只能是提高成本。如果對(duì)方是有針對(duì)性地，你只要把數(shù)據(jù)傳過(guò)來(lái)了，怎么都是沒(méi)用的。否則你 base64 一下也許足夠了。

敏感信息就不應(yīng)該放到本地存儲(chǔ)，如果是token放到cookie就行了，何必放到下本地存儲(chǔ)呢。而且還不一定兼容老的瀏覽器。

不敏感的話可以,敏感的話還是加個(gè)密吧

local storage是明文存儲(chǔ)，最好加密

localStrorage 補(bǔ)充一點(diǎn)，你還得考慮用戶設(shè)置的隱私模式，隱私模式下localStrorage不可用

說(shuō)個(gè)題外話，沒(méi)有“h5”這種東西，只有 HTML5。而且中文和英文中間必須有半角空格！不好意思，隔壁片場(chǎng)的溜達(dá)過(guò)來(lái)的。