Stiamo sviluppando un'applicazione web e intendiamo utilizzare l'autenticazione WSSE protocollo per connettersi alla nostra API.
Poiché WSSE richiede una password con hash e un timestamp per generare un'intestazione di autenticazione,
abbiamo due modi per generare l'intestazione:
-
Genera l'intestazione sul server e invialo al client.
Poiché eseguiamo più chiamate all'API, questo avrà un sovraccarico sul nostro server. -
Invia la password hash al nostro client, memorizzala in un oggetto Javascript e genera l'intestazione sul lato client.
È sicuro memorizzare la password hash sul lato client? Quali sono i rischi per farlo?