系统想做一个点击锁屏按钮,锁屏界面,然后解锁进入界面。如图
实现的方法不过是点击按钮调出遮罩层
问1:
需求那边要求是要输入系统登录密码进行解锁,这样安全么?会不会容易造成系统登录密码的泄露?
问2:
之前的提议是设置一个临时密码进行登录?我的做法是想把这个临时密码通过本地存储localStorage来设定,有没有更佳的做法?
问3:
对于web网站这样的锁屏功能真的有必要么?至少前端来做遮罩层简单样子上实现下,懂的人去审查下元素,把遮罩给隐藏掉就没有了。有什么方法去避免这样的问题?
一般这样的功能,你们怎么实现呢?
打开firebug,直接把锁屏关掉
问1
按正常的登录页面的方式发送验证请求就没有问题
问2
临时密码也需要发送到服务器验证,本地不做保存,安全问题~
问3
能打开浏览器控制台,就可以操作页面上的任何元素,这个你是控制不了的,浏览器的功能,平台层面的问题,和你的应用无关
我尝试回答下题主的问三,在不考虑性能的情况下可以这么做:
1.核心是利用非对称加密;
2.在点击锁屏的时候,请求服务器,服务器返回公钥,客户端除了做遮罩以外,要把遮罩层以下的敏感内容,用公钥加密后存入textarea;
3.输入锁屏密码之后,请求服务器,服务器返回私钥,客户端去除遮罩以外,再用私钥解密textarea的内容,再innerHTML插入页面。
当然,如果不那么严格,就是对称加密解密也是可以的。
可以把这个锁屏当做用户注销,解锁重新登录
1.我觉得需求是想要类似windows锁屏的样子,输入计算机系统登录密码?这不太可能实现,除非用户愿意吧计算机密码上传后台。
2.临时密码也要通过后台记录和验证,安全为上
3.如果害怕有操作页面元素的隐患,可以在代码里设置一个内部变量,锁定后修改变量,判断变量来进行后台数据交互,这样就不怕有人恶意操作了。
这个很简单、