#javascript #encryption #single-spa
#javascript #шифрование #single-spa
Вопрос:
Как мы можем зашифровать токен аутентификации, передаваемый приложению из single SPA
singleSpa.registerApplication({name: 'app1',activeWhen,app,customProps: { authToken:"d83jD63UdZ6RS6f70D0" }});
Комментарии:
1. Шифрование на стороне сервера обычно предпочтительнее, чем на стороне клиента. Не могли бы вы сгенерировать
authTokenна сервере?
Ответ №1:
Шифрование на веб-странице выполняется легко, например, вы можете использовать симметричный алгоритм шифрования, такой как AES (AES-JS), Но на самом деле вопрос в том, какова ваша цель?
- Вы хотите предотвратить атаки MITM? используйте TLS.
- Вы хотите запретить клиенту доступ к токену? Невозможно, потому что он может видеть запрос напрямую.
- Хотите ли вы смягчить защиту от XSS-атак? Вам нужно будет где-то хранить ключ шифрования!Если он находится в памяти, то в течение нескольких минут вы можете быть в безопасности, если сохраните его ключ в памяти, но что произойдет, когда вкладка будет закрыта?
В вашем использовании будет гораздо больше проблем с безопасностью (судя по фрагменту кода), но вам понадобится больше деталей в вашем вопросе.