V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
fqwerl
V2EX  ›  问与答

redux store 持久化储存的安全问题

  •  
  •   fqwerl · 2018-03-27 17:22:41 +08:00 via Android · 2648 次点击
    这是一个创建于 2463 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前一个需求是希望 redux 的状态能够持久化(浏览器刷新页面状态不会丢失)

    于是找到了 redux-persist 这个库,可以放在 localstorage 里

    leader 质疑这个方案,觉得不够安全,因为数据放在了客户端,甚至打开 Chrome dev tool 查 localstorage 就能看到数据

    我说可以在储存之前加密或者混淆,他仍然有些质疑

    (我们做的产品的数据相对比较注重安全和隐私)

    有什么好建议吗?

    13 条回复    2018-03-28 08:34:49 +08:00
    BlackGlory
        1
    BlackGlory  
       2018-03-27 17:31:01 +08:00
    保证客户端的数据安全性本来就是无稽之谈, 你们唯一需要的是让后端保证安全而不是去强求前端安全这种不切实际的东西, 哦, 除非你们搞同态加密.
    zzNucker
        2
    zzNucker  
       2018-03-27 17:39:20 +08:00
    笑话,放在客户端不安全? 你的 redux 代码都在客户端执行的,所有数据都经过客户端了。。。
    hlwjia
        3
    hlwjia  
       2018-03-27 17:45:21 +08:00
    leader 上 V2EX 吗?
    fqwerl
        4
    fqwerl  
    OP
       2018-03-27 17:51:57 +08:00
    @hlwjia 我只是来探索答案的 >.< 措辞好像没什么大问题吧
    hlwjia
        5
    hlwjia  
       2018-03-27 17:59:41 +08:00
    @fqwerl 误会了,我不是这个意思

    我只是觉得 leader 的质疑搞笑;他在的话,可以让他学习一下

    哈哈哈
    fqwerl
        6
    fqwerl  
    OP
       2018-03-27 18:00:41 +08:00
    @hlwjia 能分享一下你的想法吗?
    whypool
        7
    whypool  
       2018-03-27 18:04:52 +08:00
    客户端你给我谈安全?
    HuHui
        8
    HuHui  
       2018-03-27 18:05:15 +08:00 via Android
    拿到客户端就不要谈安全了吧
    kaneg
        9
    kaneg  
       2018-03-27 18:12:59 +08:00 via iPhone
    不知道 localstore 是不是可以控制在会话级别?如果不能的话,就不要存放敏感信息。例如 session id 这样的信息应该在浏览器关闭后自动清空
    hlwjia
        10
    hlwjia  
       2018-03-27 18:39:04 +08:00
    @fqwerl 很简单的道理啊,如果浏览器的都能被人打开 localstorage 或者装个 dev tool 看了,已经没有什么是保密的了。我就直接看你的网页内容就行了,我还去看你的 localstorage 做什么?
    hlwjia
        11
    hlwjia  
       2018-03-27 18:40:38 +08:00
    @fqwerl 你问问 leader 现在 cookie 存在哪
    hlwjia
        12
    hlwjia  
       2018-03-27 18:42:58 +08:00
    @hlwjia 或者 Authorization token 存哪
    wd
        13
    wd  
       2018-03-28 08:34:49 +08:00 via iPhone
    换工作吧 早点出坑…
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3000 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:18 · PVG 08:18 · LAX 16:18 · JFK 19:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.