前端面试:你的项目中用户密码存储如何保证安全?

最新推荐文章于 2024-01-04 19:01:41 发布
VIP文章 最新推荐文章于 2024-01-04 19:01:41 发布
阅读量952 收藏
点赞数
分类专栏: 前端记录 文章标签: express 前端 安全 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TENET_T/article/details/128756974
版权

面试情景

在前端面试中,密码加密的一系列问题可能会在问项目相关的时候涉及到,下面是模拟情景:

面试官:你的项目中用户密码是明文存储吗?

回答:为了避免数据泄露导致的安全问题,用户密码一般采用不可逆向的hash函数加密后存储。常见的哈希算法有:MD5、SHA-1、SHA-256、SHA-512等。

面试官:使用hash加密后的密码就一定安全吗?应该如何增强安全性呢?

回答:虽然hash函数是单向的,但是由于两个相同字符串hash后的结果也一致,因此可以采用字典攻击的方式,将常用的密码,单词,短语和其他可能用来做密码的字符串进行hash,然后一一比对。我们可以在明文密码上加一个随机的前缀或者后缀,然后再进行hash。这个随机的后缀或者前缀就是“盐”。通过加不同的随机盐,相同的密码每次hash后都将是完全不一样的字符串。当然对于不同的密码不能使用同一个盐,否则也会容易被破解。

面试官:你这个项目中对用户密码进行hash是在前端还是在后端进行的?为什么?

回答:后端是必须进行hash的。如果只在前端进行hash,虽然避免了传输明文密码,但是如果有人截取了用户的hash,就可以直接用来登陆用户的账号了,甚至都不需要破解hash得到用户密码但也不是说不能在浏览器端进行hash。只是如果你要这样做的话,一定要在服务端再hash一次。

使用bcrypt.js加密密码

用npm工具安装完bcrypt.js后,按照下面的代码可以对密码1232进行加盐后再hash,并且调用compareSync函数进行验证,如果返回true就说明明文和密文是对应的。


                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  TENET_T
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
前端安全系列:如何防止XSS攻击?

				
			

			

				

					02-25
				

			

		

		

			
				
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发不断预防和修复安

			
		

	



                

              
                



	

		

			

				
					
前端安全:如何防止CSRF攻击?

				
			

			

				

					02-24
				

			

		

		

			
				
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发不断预防和修复安

			
		

	



                


  
              

                


	

		

			

				
					
面试官: 你了解前端路由吗?1

				
			

			

				

					08-03
				

			

		

		

			
				
1. 基于hash的前端路由实现
2. 基于hash的前端路由升级
3. 基于H5 History的前端路由实现
1. 将路由的hash以及对应的callbac

			
		

	





	

		

			

				
					
Web登录如何确保安全

				
			

			

				

					Jack_zengzhen的博客
				

				

					04-12
					
					9194
					
				

			

		

		

			
				
1、一个普通简单的HTML例子,用户登录信息是不安全的

 <formaction="http://localhost:8080/Application/login"method="POST">
     用户名:<inputid="username"name="username"type="text"/>
    密码:<...

			
		

	



		

			
		



	

		

			

				
					
Vue登录页面记住密码,并使用crypto-js加密

				
			

			

				

					~~
				

				

					05-17
					
					3759
					
				

			

		

		

			
				
主要用到js-cookie来存储用户名密码,关于js-cookie介绍:https://blog.csdn.net/qq_40323256/article/details/116838848


一、下载js-cookie


cnpm i -S js-cookie

二、main.js全局引入


import Cookies from 'js-cookie'
Vue.prototype.$cookie = Cookies;

三、使用


<el-checkbox v-model="rem..

			
		

	





	

		

			

				
					
前端密钥怎么存储,才最安全

				
			

			

				

					yuanchengfu0910的博客
				

				

					05-29
					
					9459
					
				

			

		

		

			
				
对于部署到服务器的应用,您可以使用服务器的环境变量配置功能,如 Linux 系统的 export 命令或 Windows 系统的系统属性配置。如果您使用的是一些现代的前端框架或库,它们可能提供了更便捷的配置文件加载和解析的方法,例如使用 axios、fetch 或特定的配置加载插件。在前端应用使用环境变量:在您的前端应用代码,通过访问环境变量来获取密钥的值。解密密钥:在需要使用密钥的时候,通过解密算法对加密的密钥进行解密,获取原始的密钥值。配置密钥:在配置文件添加密钥的配置项,并为其指定相应的值。

			
		

	





	

		

			

				
					
前端加密,后端解密的过程及代码(密码明文传输解决,不是太保险。key在前端有显示)

				
			

			

				

					weixin_44538241的博客
				

				

					08-05
					
					9443
					
				

			

		

		

			
				
解决明文传输,AES前端加密后端解密

			
		

	





	

		

			

				
					
前端记住密码功能实现

					
热门推荐

				
			

			

				

					沈行的博客
				

				

					05-30
					
					2万+
					
				

			

		

		

			
				
最近在开发一个项目,登录模块需要用到记住密码功能,第一次用,寻觅了网上大量的帖子,虽然知道其原理了,但里面仍然有一些问题,涉及到安全。就是贮存到cookie密码容易泄露,不知道是不是所有的都是这样,还是我自己会出现这样的问题。有解决想法的朋友可以一起探讨。可以自己先用webstorm简单运行下这个页面。&lt;!DOCTYPE html&gt;
&lt;html lang="en"&gt;
&...

			
		

	





	

		

			

				
					
前端使用AES密码加密、解密,使用详细(crypto加密解密,前后端分离,AES加密解密)

				
			

			

				

					weixin_65793170的博客
				

				

					12-08
					
					4939
					
				

			

		

		

			
				
1、首先安装crypto-js插件,​安装命令如下:npm installcrypto-js -S;2、新建crypto.js文件,封装自定义加密和解密方法,并导出

			
		

	





	

		

			

				
					
前端登录时候进行密码的加密

				
			

			

				

					m0_53164768的博客
				

				

					03-26
					
					940
					
				

			

		

		

			
				
前端登录加密

			
		

	





	

		

			

				
					
js本地存储+记住用户名案例

				
			

			

				

					daisyboom的博客
				

				

					08-07
					
					115
					
				

			

		

		

			
				
删除数据</button><button class="del">清空所有数据</button><button class="del">清空所有数据</button><button class="set">存储数据</button><button class="get">获取数据</button><button class="set">存储数据

			
		

	





	

		

			

				
					
前端vue登录记住账号密码并反显

				
			

			

				

					weixin_67324074的博客
				

				

					07-25
					
					242
					
				

			

		

		

			
				
账号密码进行了加密解密操作 具体看文章<script>data() {return {pabcd: ''},},// 首先查看是否记住密码,有则直接渲染到页面//对账号密码进行解密} else {},methods: {//记住密码},//密码登录//组件表单验证//延时一秒通过token判断是否登录成功//对账号密码进行加密// 记住密码//保存帐号到cookie,有效期7天//保存密码到cookie,有效期7天} else {

			
		

	





	

		

			

				
					
JavaScript操作cookie实现记住用户名密码功能(一)

				
			

			

				

					hsx18787462705的博客
				

				

					09-15
					
					3408
					
				

			

		

		

			
				
JavaScript操作cookie实现记住用户名密码功能(一)

由来简述

最近一段时间在使用springboot编写一个简单的小系统,但是写到登录注册时,突然想给登录加上一点小功能,但是写的时候有点模糊,然后向w3school求助了一下,之后自己有在那基础上有一些改动,达到了一个很好的样例,如果觉得好的给个关注,给个赞。
参考链接:https://www.w3school.com.cn/js/js_cookies.asp
主要实现了如下的一些功能:
1、页面加载完检测是否有cookie,有的话,把co

			
		

	





	

		

			

				
					
前端传入的用户名密码是如何存储

				
			

			

				

					qq_46130027的博客
				

				

					07-10
					
					327
					
				

			

		

		

			
				
用户注册或修改密码时,后端服务器会接收到明文密码,并使用密码哈希算法对密码进行处理,得到哈希摘要。然后,这个哈希摘要将被存储在数据库。当用户登录时,后端服务器会将接收到的密码再次进行哈希处理,并与存储在数据库的哈希摘要进行比对,以验证密码的正确性。密码通常不会以明文的形式存储,而是经过哈希算法进行处理存储其哈希摘要。这样的做法增加了密码安全性,即使在数据库泄漏的情况下,用户密码也能够更好地保护。

			
		

	





	

		

			

				
					
前端实现记住密码

				
			

			

				

					weixin_47640774的博客
				

				

					01-04
					
					548
					
				

			

		

		

			
				
【代码】前端实现记住密码

			
		

	





	

		

			

				
					
前端在登录时如何将用户密码加密(加密方法AES)

				
			

			

				

					weixin_51125364的博客
				

				

					04-25
					
					781
					
				

			

		

		

			
				
【代码】前端在登录时如何将用户密码加密(加密方法AES)

			
		

	





	

		

			

				
					
前端对登录密码进行加密,md5+盐值

				
			

			

				

					qq2754289818的博客
				

				

					06-16
					
					3573
					
				

			

		

		

			
				
前端对登录密码进行加密,md5+盐值
场景:前端制定规则账号密码,后端不进行参与,完全就是前端进行校验缺点:对于现在网络发达的时代,大部分人随便攻击你的网站就可以看到你的账号密码这样就可以轻松进入你的网站、不安全。优点:基本没有,除非就是临时搭建 不需要后端。

			
		

	





	

		

			

				
					
前端登录过程aes加密

				
			

			

				

					霜叶的博客
				

				

					02-08
					
					3867
					
				

			

		

		

			
				
登录过程aes加密



			
		

	





	

		

			

				
					
一百六十八

				
			

			

				

					ouhou999的博客
				

				

					12-28
					
					178
					
				

			

		

		

			
				
简介
登录模块很简单,前端发送账号密码的表单,后端接收验证后即可~
淦!可是我想多了,于是有了以下几个问题(里面还包含网络安全问题):
1.登录时的验证码
2.自动登录的实现
3.怎么维护前后端登录状态
在这和大家分享下我实现此功能的过程,包括一些技术和心得
1.登录时的验证码
为什么要验证码,原因很简单,防止脚本无限次重复登录,来暴力破解用户密码或者攻击服务器
验证码的出现,使得每次登录都有个动态变量需要输入,无法用脚本写死代码
具体可以参考:滑动验证码的设计和理解
2.自动登录的实现
所谓自动登录,指的

			
		

	





	

		

			

				
					
前端面试:小程序的设计思路

					
最新发布

				
			

			

				

					02-29
				

			

		

		

			
				
1. 用户体验设计:在设计小程序时,需要考虑用户的需求和使用习惯,保证用户界面简洁、直观,并提供良好的交互体验。可以通过使用合适的颜色、字体、图标等元素来增强用户的视觉感受,同时合理布局页面,使得用户...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值