如何破解前端保存的用户密码？

@yjim 比如我 wifi 数据互相切换，ip mac 全变了，不就得要重新登陆

你不如设置 cookie 存个 token ，设置过期时间

@yjim https 也一样抓啊

@blankmiss https 怎么抓？中间人攻击？

@yjim fiddler 类似这种需要添加 https 证书的抓包软件就行了

可以考虑非对称加密，客户端拿公钥加密存到本地，然后把密文发到服务端用私钥解密

（没用过 jwt

没看懂帖子想说什么，如果是 jwt 的话，前端保存 token 到 localstorage 就好了，jwt 指定一个小时过期，即将过期的前半个小时，前端判断快过期了，自己调用接口用旧 token 去更换新 token 。

只要用户一直在线四处浏览网页，就不会掉登录。

闲麻烦就用双 token ，一个时效长一点的 token(14 天)和时效一个小时的 token ，平时只用短时效的 tolen 请求 api ，token 快过期了，再用长 token 去刷新短 token

@blankmiss 防黑客不防用户自己，像你说的这种，前端防御更没意义。。。原主题的结果是前端防黑客也没啥大用。还是得后端配合。


@leaflxh jwt 也是生成密钥发给前端，我讨论的是前端 web 怎么存这个密钥来防黑客模拟用户身份进行操作。已得出初步结论：防不住，得后端来做校验