在HTML5 LocalStorage中存储API凭据

Question

在HTM5 LocalStorage中存储用户客户端的api凭据是否可以接受？这似乎是安全的，因为LocalStorage是由模式沙箱:主机，显然只有客户端。如果我们在存储到LocalStorage之前也对客户端的api凭证进行加密，会怎么样？

Answer 1

这取决于API的性质。

对于其他有权访问同一设备的用户，凭证将不会受到保护。

但是，如果您使用的场景不需要任何安全需求，或者只需要很少的安全需求，那么使用localStorage是可行的。

关于localStorage数据的加密--认识到您实际上只是在混淆，而不是在保护。由于必须将加密密钥传递给客户机，因此您所能期望的最好结果是，如果有人能够访问机器，那么查找API凭证就会变得(稍微)困难一些。