离线网络应用程序中的用户身份验证

Question

我正在构建一个需要离线工作的网络应用程序。该系统旨在捕获销售交易。大部分“离线”部分相当简单——我只需要在本地存储数据并在返回网络时同步它。到目前为止，一切都很好。

问题在于身份验证。该应用程序将在具有单个操作系统用户帐户的共享计算机上运行。如果我处于离线状态，如何验证用户身份？

用户本身没有任何我需要隔离的私人数据（即，我不必在客户端上保护他们免受彼此的影响）。我需要能够验证他们的密码，这样即使连接断开，我也可以让不同的用户全天登录。

我正在考虑的一种方法是将密码哈希值缓存在客户端的 IndexedDB 中。仅允许一组有限的用户从特定的共享计算机登录，因此我不需要在本地缓存整个密码数据库。假设我有一个良好的密码策略（复杂性和过期要求），并且哈希本身是安全的（bcrypt），这是一个多么可怕的想法？

我还有其他选择吗？

Answer 1

当计算机无法连接到域控制器时（例如，您将工作笔记本电脑带到飞机上并且需要在没有连接的情况下登录您的笔记本电脑），这就是 Windows（和其他系统）的有效工作方式。您的计算机已记录了您的用户名|密码对的缓存，即使处于离线状态，您也可以通过这些凭据进入。

我认为一般来说，存储用户名|密码哈希值是非常安全的，假设你对它们进行了合理的哈希处理（例如，使用盐、使用 IV 等）。您需要考虑的一个问题是哈希文件“逃逸”。如果这是敏感数据，您需要非常小心 - 这甚至可能是不可接受的，但如果它不是超级敏感数据，那么您可能没问题：通过良好的散列，我认为您应该合理（但肯定不是）完全）安全。

Answer 2

也许这有点无关，但我在我的 Nodejs 项目中使用了这种方法。
当用户通过用户名和密码进行身份验证时，他/她将被分配一个仅用于此特定会话的唯一 API 密钥。

每个用户只能拥有一个 API 密钥。

此 API 密钥会添加到向服务器发出的任何请求中，以对用户进行身份验证。

当用户注销时，API 密钥将被删除。此外，API 密钥还可以在服务器上清除，这使得用户可以在服务器上再次进行身份验证。

如果您感兴趣，我可以提供使用这种方法的 Nodejs 开源程序的链接。