离线网络应用程序需要本地存储的安全凭证

Question

我有一个可以使用 HTML5 离线缓存离线运行的 Web 应用程序。我在客户端上存储用户密码的 sha256 哈希值，这允许我让用户在离线时本地登录，但我不需要在本地存储实际密码。

我想介绍一些功能，如果应用程序上线，那么应用程序将自动登录到服务器，而无需用户重新输入密码。这意味着我要么需要以某种方式在客户端上存储实际密码，要么需要将散列密码传递到服务器以允许服务器对用户进行身份验证。这两种方法似乎都有缺点：

我不相信我可以将密码安全地存储在客户端上（javascript 变量就可以，但是随着页面刷新，var 就会超出范围。Cookie 或会话存储或本地存储都可以） 我已经在本地

存储了密码的 sha256 哈希值，但是如果我在服务器上打开一个方法来允许该哈希值对用户进行身份验证，那么我也将打开安全性，

任何人都可以有任何好主意 。在这个上？谢谢

（服务器是 ASP.NET MVC C#）

Answer 1

您可以将散列密码存储在 IndexedDB 或 WebSQL 数据库中，因为这两个数据库都很难读取 - 尽管 Chrome 开发人员工具确实允许您访问它们（如果您知道如何操作） - 尽管 Internet Explorer 不支持这两个数据库。但如果您的应用程序离线运行，那并不重要；）