反应身份验证处理

Question

我是 frontend dev并不那么熟悉安全。

当前，IM将用户的用户IDER存储在Web LocalStorage中。

通过使用UserID，我们可以向服务器请求有关用户信息。

问题是，我有点担心这种处理用户ID的方法是否存在潜在的危险。

当然，如果用户尝试使用其他用户ID值请求，他们可以获取其他用户数据（而不是私人信息，例如电子邮件或密码等等），

我允许用户获取其他用户数据的原因是在其他用户的配置文件时检查其他用户的配置文件。是否（如在个人资料页面上）

得出结论，在我的localStorage上存储了UserID，可以让用户减少登录，以检查当前路由中是否对用户进行身份验证。这不脆弱吗？

你们能给我建议吗？

Answer 1

我看到的主要安全问题是，任何人都可以更改其存储的用户ID，以将其作为其他用户进行身份验证。

而且，如果您的用户ID是增量的，您甚至不必知道任何用户ID，您可以猜到它们。如果我的用户ID是108，那么可能有107，109等。

我的建议是尝试实现诸如JWT身份验证之类的东西，但是如果一开始太多，则存储用户ID和秘密字符串的哈希（例如SHA256）将使无法猜测。这样，您就不能仅将用户形式复制到本地存储。在服务器中，您会收到Hash和userId，因此您可以使用UserId和Secret String复制哈希，如果它们匹配，则可以使用。

Answer 2

LocalStorage可以存储与用户相关的不敏感信息。如果用户可以通过更改用户ID来获取其他用户信息，则他可以在服务器上加密用户ID并将其返回到页面。如果用户无法获得他人的加密用户ID，则他将无法要求。别人的信息

Answer 3

如果用户登录成功，请从后端返回JSON Web令牌。然后，您可以将其存储在浏览器中存储的任何东西。在令牌中，您可以附加有效载荷。对于示例用户ID。您可以在后端中实现中间件接受令牌并将其解码以获取有效负载。然后，您可以使用该有效载荷实现逻辑以保存或获取数据。

您也可以使用刷新令牌到期，并重新生成新的令牌。这是其他安全机制。我们用来访问资源的令牌称为访问令牌，我们用来再生新令牌的令牌称为“刷新令牌”。