在网络服务器上存储使用信息

Question

我正在存储一些基本信息以用于显示每个用户的信息。我目前使用cookies来存储和检索它们，但是我想采用更安全的策略。我读过使用本地存储将会更安全和更好使用，但是，它们似乎没有任何过期日期（如Cookie），除非您使用会话存储，否则它们将无限期存储，而我不会想。但是，如果信息被加密，我不介意使用本地存储，但是对于当前的encryption libraries，我不知道如何使用它们。

储存：

• 用户名
• 登录尝试
• 用户是否被锁定或不

需要注意以下几点：我所存储的使用不进行身份验证，仅显示错误消息。我正在使用tomcat 8来处理身份验证和运行服务器（以及锁定）。即使它未用于身份验证，我也不想将用户名保存或不保存（最多1-2天）。此外，我没有使用SQL数据库（或其他类型），但计划稍后实施，所以不要提出或询问它。

我在寻找大多数安全方法可能相对容易，我们有其他安全措施的实施，但不希望留下任何安全漏洞。

Answer 1

没有安全的东西，纯粹是双向加密的客户端。如果您能够在客户端解密某些内容，其他人也可以解密。

此外，会话存储，本地存储和Cookie之间没有特别的安全差异。它们都是客户端，并且可以在同一个域上被JavaScript读取。

如果您确实希望事情安全起见，则必须存储在服务器端，并仅通过HTTPS传输它。其他任何事情都只是通过模糊处理来实现安全性，充其量也不是真正的安全性。

就过期而言，本地存储或会话存储不会自动到期（除会话结束时将清除会话存储）。你可以用JavaScript来实现一些，但只有当它们太旧时才会丢掉值，并且直到他们访问你的页面才会发生。

你可以做的最好的事情几乎是纯粹的客户端将在服务器上存储某种密钥，当你去解密时，它需要从服务器请求密钥（通过HTTPS）并使用解密。这样，他们无法解密它，而无需在服务器上进行某种适当的身份验证。

但是，如果你这样做，你可能会把信息存储在服务器上。