Estamos desarrollando una aplicación web y planeamos usar autenticación WSSE protocolo para conectarse a nuestra API.
Como WSSE requiere una contraseña con hash y una marca de tiempo para generar un encabezado de autenticación,
Tenemos dos formas de generar el encabezado:
-
Genere el encabezado en el servidor y envíelo de vuelta al cliente.
Como hacemos varias llamadas a la API, tendrá algunos gastos generales en nuestro servidor. -
Envíe la contraseña con hash a nuestro cliente, almacénela en un objeto Javascript y genere el encabezado en el lado del cliente.
¿Es seguro almacenar la contraseña con hash en el lado del cliente? ¿Cuáles son los riesgos para hacerlo?