javascript - localstorage 保存用户账号密码，密码加密问题 在线等！！！！！！

用户输入账号密码登录后，服务端返回一个唯一的token记录为当前账户，保存在localstorage,每次请求接口，传入这个token，让服务端去匹配当前账户,这样告别了session，前后端完全分离

思路不对。你现在需要解决的是保存登录状态，以及如何长期保持，服务器如何验证你的保存的登录信息。

私密数据存前端怎么加密都没用的，某个角度来说那就是明文。

密码保存在前端是一个很危险的过程,当你拿着密码通信的时候,任何被加密的前端密码在给后端的时候都相当于没有加密过.

PS: 我曾经写爬虫的时候,遇到过一个前端加密接口请求的sign(你可以把这个原理看成是密码,sign如果不对后端不给数据),然后我把压缩混淆过的JS下载到本地利用charles的map_local功能,在代码里面打上断点,就直接破解了他的加密方式,然后用爬虫模拟加密方式发送请求就抓取到数据了.

所以,前端加密是一个不靠谱的行为,如果安全度要求不高,建议使用后端语言在浏览器set-cookie的方法来做身份验证

可以做一个固定字符串拼接做MD5加密、以后做密码对比的时候也是根据这个规则、这样你的规则是自定的、更安全一些、但是还是推荐在后端做比较和存储

没有谁把密码放在cookie里面，密码只会在登录的时候会用到，所以完全不用保存密码呀。保存用户信息我是用OAuth2.0 的思想：登录成功后服务器端返回生成好的 token （服务器端会根据这个 token 为key 保存需要的用户信息），你请求时代上这个 token 服务器端自然就能返回你需要的信息。也可以用 jwt token 形式，保存在cookie。jwt token 是相对是不安全的。

其实我想说，你既然都敢把密码保存到前端了，那么明文不明问都一样。。。

反正有心人想要破解也都是分分钟的事情，无心人也不会想着去偷你的密码。

md5加密啊，你用什么开发的，angular/angular2都有相应的md5加密插件或模块。

保存加密后的

举一个例子：

用户登陆后，后台通过set-cookies给用户设置了cookies，之后用户每次请求都会带上这个cookies，后台也会验证这个cookies，若这个cookies验证通过，那就正常返回数据，不然就接口返回一些特殊的状态，前端就跳转到登陆页面。

用户登陆一次后，只要cookies不失效，就不用再次登陆。

永远都不要保存在前端，你可以像laravel一样弄一个remember token存进cookie，也可以干脆就把session id长期存到cookie 里，然后把用户信息保存在session 里