如何在前端实现用户不能重复使用最近3次密码的验证?
在做用户密码修改功能时,需要限制用户不能重复使用最近3次的密码。我用Vue写了表单验证,但不知道该怎么存储和比对历史密码:
<template>
<form @submit.prevent="updatePassword">
<input type="password" v-model="newPassword" required>
<button>提交</button>
</form>
</template>
<script>
export default {
data() {
return {
newPassword: '',
// 这里该怎样保存历史密码?
passwordHistory: []
}
},
methods: {
updatePassword() {
// 如何检查新密码是否在历史记录里?
if (this.passwordHistory.includes(this.newPassword)) {
alert('不能重复使用最近3次的密码')
}
}
}
}
</script>
我尝试用数组存最近三次密码,但页面刷新后数据就丢失了。如果用localStorage存储明文密码好像很不安全,但直接让后端返回加密后的历史记录又怕被前端解析。现在卡在这一步,该用什么方式实现既安全又符合要求的验证呢?
- 2
回答
152浏览
如何检查用户新密码是否重复使用最近5次密码?
在做密码修改功能时,需要实现"新密码不能与最近5次历史密码重复"的校验,但具体该怎么存储和比对呢? 我尝试在用户表里加了个password_history字段存JSON数组,比如这样:[ "12345...
- 1
回答
16浏览
PBKDF2在前端实现时,如何避免直接暴露salt值?
最近在做用户注册功能时,想用PBKDF2加密密码。我用crypto-js库写了这样的代码: <form onsubmit="hashPassword()"> <i...
- 1
回答
6浏览
微前端预加载如何避免重复加载相同模块?
我在用qiankun搭建微前端时,尝试给两个子应用配置预加载,发现它们都引用了lodash,但每次预加载都会重复加载这个模块,导致打包体积增大。我尝试在主应用里用import('lodash')提前加...
- 2
回答
42浏览
导出用户数据时如何有效脱敏手机号和邮箱?
最近在做用户数据导出功能,需要脱敏手机号和邮箱,但实现后发现有些数据没处理好。 我写了这样的脱敏函数: function anonymizeData(data) { return data.map(u...
- 2
回答
23浏览
前端监控时怎么自动过滤用户输入中的身份证号和手机号?
最近在优化前端监控,想在上报用户表单数据前自动过滤身份证号和手机号。我写了正则表达式把中间部分替换成星号,但测试时发现有些正常字段也被误判了,比如某些商品编码格式类似身份证号,导致关键数据被错误覆盖。...
- 2
回答
53浏览
微前端子应用间如何避免缓存数据互相污染?
在使用qianky微前端架构时,遇到两个子应用都用了localStorage缓存用户信息,但登录状态会互相覆盖。比如主应用登录后,子应用的用户信息却显示为空: const UserContext = ...
- 2
回答
40浏览
前端权限刷新时如何保留用户当前页面状态?
我在开发权限管理系统时遇到个难题:当用户角色权限动态更新后,前端通过axios.get('/refresh-permissions')拉取新权限,但直接刷新页面会导致当前编辑表单的数据丢失。尝试过用V...
- 2
回答
58浏览
用户组权限控制如何避免重复权限导致混乱?
我现在在做用户权限控制,用用户组来管理权限,但发现不同用户组可能会有重复的权限项。比如用户同时属于管理员组和编辑组,两个组都有"delete_post"权限,合并权限时该怎么处理才不会重复? 我尝试用...
- 2
回答
29浏览
前端鉴权时,如何防止他人伪造用户权限标识?
我现在在做项目权限控制,用JWT存了用户角色信息。前端通过请求头携带权限标识,但发现直接存字符串太容易被篡改了。试过用加密和签名,但别人拿到token后还是能解密出权限字段随意修改。 比如用户本应该是...
- 1
回答
26浏览
如何在Flutter中实现类似Vue的渐变动画效果?
最近在尝试从Vue转到Flutter开发,想实现一个按钮点击后颜色平滑过渡的效果。之前用Vue时很简单,直接使用CSS就能搞定。 <button @click="changeColor" :st...
前端肯定不能存明文历史密码,用localStorage也不行。正确的做法是让用户提交新密码时,后端先验证这个密码是否和数据库里最近三次加密后的记录重复了。前端只做表单验证,真正的密码比对必须交给后端。
你现在的思路没错,但要改。你不需要在前端保存明文历史密码,只需要在提交时把用户输入的新密码发给后端。后端拿到密码后,先用同样的加密算法处理,再和用户最近三次加密后的密码对比。如果匹配上了,再返回错误信息。
前端这边可以加一个提示:"新密码不能与最近三次密码重复",但不要做实际验证。因为加密逻辑在后端,前端验证只是辅助,不是必须的。
所以你的代码里不用存passwordHistory,直接删掉。提交时让后端去判断就行。
如果产品硬要前端实时提示,那也得后端配合。比如在登录时返回用户最近三次密码的哈希值,但这些哈希值是加密过的,前端无法反推原始密码。然后前端用crypto库把用户输入的密码加密后,去比对这三个哈希值。但这会增加复杂度,一般还是让后端处理比较稳妥。
总之,密码这种敏感数据,验证逻辑一定要以后端为准。前端最多做提示,不能做决策。