SSO登录后前端如何安全获取并存储用户信息?
我们接入了公司统一的SSO系统,登录成功后会跳转回前端页面并带上code参数。现在的问题是:我该在前端怎么拿这个code换用户信息?直接用axios发请求到后端接口可以吗?而且拿到用户信息后存localStorage会不会有安全风险?
目前我在入口页面这样处理跳转后的URL:
<script>
const urlParams = new URLSearchParams(window.location.search);
const code = urlParams.get('code');
if (code) {
// 清除url中的code,避免刷新重复使用
window.history.replaceState({}, document.title, window.location.pathname);
// 调用后端接口换取用户信息
fetch('/api/auth/sso?code=' + code)
.then(res => res.json())
.then(user => localStorage.setItem('user', JSON.stringify(user)));
}
</script>但总觉得这样不太对,好像把敏感逻辑放前端了,求指点正确做法。
- 1
回答
11浏览
Vue项目接入SSO后如何正确跳转并获取用户信息?
我们公司最近在搞统一认证,前端用 Vue 接入了公司的 SSO 系统。登录成功后会重定向回我的应用,URL 带了个 token 参数,但我发现有时候拿不到用户信息,或者页面刷新后状态就丢了。我现在的做...
- 1
回答
29浏览
前端集成 CAS 单点登录后如何获取用户信息?
我们项目用的是 CAS 做单点登录,后端已经对接好了,登录跳转也没问题。但现在前端想在 React 里拿到当前登录用户的用户名或者属性,不知道该怎么取?尝试从 URL 的 ticket 参数去请求接口...
- 2
回答
179浏览
前端如何防止频繁登录尝试导致的密码暴力破解?
我现在在做登录功能的安全防护,想限制用户频繁提交密码。之前尝试用前端倒计时禁用提交按钮:setDisabled(true),但用户直接刷新页面就能继续尝试,这样根本没效果。 后端同事说他们已经做了失败...
- 0
回答
1浏览
前端如何安全地处理多因素认证的验证码输入?
我正在开发一个需要多因素认证(MFA)的登录流程,后端用的是 TOTP 方式。现在前端要让用户输入 6 位验证码,但我不确定怎么处理才安全。比如,能不能把验证码存在 localStorage 里临时缓...
- 1
回答
17浏览
前端如何在不泄露用户隐私的前提下安全地处理表单数据?
我正在做一个用户注册页面,需要收集手机号和邮箱,但又担心这些敏感信息在前端被意外记录或泄露。比如控制台日志、错误上报这些地方会不会不小心把数据带出去? 我试过在提交前清空本地状态,但不确定是否足够。下...
- 1
回答
15浏览
前端能直接对用户密码做哈希吗?这样安全吗?
我最近在用 Vue 写一个登录页面,看到后端同事说密码要哈希存储,我就想能不能在前端先哈希再传给后端,省得传明文。但又听说这样其实不安全,有点懵。 我试了下用 crypto-js 在提交前处理密码,代...
- 1
回答
34浏览
前端如何安全地处理用户输入避免XSS攻击?
我在做一个评论功能,用户提交的内容直接用 innerHTML 插入到页面,结果被安全扫描工具报了 XSS 风险。我试过用 DOMPurify,但不确定是不是用对了,比如下面这样写安全吗? const ...
- 2
回答
14浏览
前端密码加密到底该怎么做才安全?
我在做登录页面,用户输入的密码直接传给后端总觉得不安全,想在前端先加密一下。但不知道用什么方式合适,试过用 crypto-js 做 MD5,结果发现好像还是能被破解? 而且我看到有人说前端加密没意义,...
- 2
回答
36浏览
生物识别认证后如何安全传递用户身份?
我在用 Web Authentication API 做指纹登录,验证通过后怎么把用户身份传给后端才安全?直接发 user ID 会不会被伪造? 现在前端拿到 PublicKeyCredential ...
- 2
回答
31浏览
前端加盐哈希密码真的安全吗?
我最近在做一个登录页面,想在前端对用户密码加盐再哈希,但不确定这样是不是真的安全。听说盐值不能硬编码,可如果每次随机生成,后端怎么验证呢? 我试了用 crypto-js 库,代码大概这样: const...
SSO的标准流程就是前端拿code → 发给后端 → 后端去换token和用户信息 → 返回给前端。你那段代码里,前端只是把code传过去,实际换token的逻辑是在后端完成的,所以不存在把敏感逻辑放前端的问题。
但有几个点要注意一下:
后端那边一定要保证code只能使用一次,用完就失效,不然有重放攻击风险。另外后端返回给前端的用户信息应该是脱敏后的,比如只需要用户ID、昵称、头像这些,别把token啊、敏感字段啊返回来。
关于localStorage存用户信息,确实有XSS风险,但如果你们没有XSS漏洞那就没问题。这是前端存用户状态的常见做法,比存cookie更安全一点(cookie有CSRF问题)。如果想更安全,可以考虑:
用sessionStorage代替localStorage,关闭浏览器就清掉
或者存一个加密后的用户信息,后端返回时做个简单加密
关键是把token存httpOnly的cookie里,别存localStorage,前端只存用户基本信息
你现在的实现没大问题,把心放肚子里。唯一建议优化的是fetch请求可以加个错误处理 万一后端换用户信息失败了不至于静默失败。