我目前正在開發(fā)一個(gè) java 后端 和一個(gè) 使用 php、html 和javascript 用于私人項(xiàng)目（但我最終希望將其開源），這意味著無論如何訪問都僅限于我的 LAN，并且安全性目前并不發(fā)揮重要作用但將來可能會(huì)。由于我最喜歡用 Java 進(jìn)行編碼，因此大多數(shù)數(shù)據(jù)處理和存儲(chǔ)（MySQL）都是用 Java 處理的，并通過 http 提供給前端（javascript; fetch()）。此外，java 后端處理身份驗(yàn)證進(jìn)程意味著我必須通過 javascript 中的 fetch 調(diào)用將登錄憑據(jù)傳遞到后端。由于我并不真正喜歡高級(jí)網(wǎng)絡(luò)編程，所以我想了一個(gè)基本的 POST ->重定向->登錄的 GET 設(shè)置應(yīng)該足夠了，我之前使用過類似的登錄過程（但在 PHP 中處理身份驗(yàn)證）。所以：客戶填寫HTML-Form并提交瀏覽器向 /login 發(fā)出 POST 請(qǐng)求并傳遞憑據(jù) 和目標(biāo)頁面PHP 然后返回包含 javascript 部分 的 HTML，該部分以純文本形式保存憑據(jù) login("<?php echo $_POST['username'] ?>", "<?php echo $_POST['password'] ?>", "<?php echo $_POST['target'] ?>");Javascript 然后獲取 java后端創(chuàng)建會(huì)話憑據(jù) 使用這些Javascript 問題window.location.replace(target);并且客戶端被重定向到目標(biāo)頁面（其中通過會(huì)話 cookie 處理身份驗(yàn)證）我目前正在過度思考，從效率和安全的角度來看這是否是一個(gè)好主意。我目前的想法是使用表單通過javascript直接將數(shù)據(jù)獲取到后端，而不是使用POST請(qǐng)求到附加頁面（跳過上面的步驟2和3）：這意味著首先 PHP 永遠(yuǎn)不會(huì)看到憑據(jù)（這將減少一個(gè)故障點(diǎn)）并且憑據(jù)可能不會(huì)顯示在 HTML 中。此外，這會(huì)減少加載時(shí)間，因?yàn)椴辉傩枰?POST。因此我的問題是：在 HTML 中顯示憑據(jù)是否是一種不好的安全做法（就像在 URL 中顯示憑據(jù)一樣，以防止用戶在復(fù)制 URL 時(shí)意外將其憑據(jù)發(fā)送給某人）？與此相關(guān)的風(fēng)險(xiǎn)是什么？這些憑證可以被任何使用的 JS 庫或?yàn)g覽器擴(kuò)展讀取嗎？如果是這樣，那些人可能也可以讀取我在表單中輸入的憑據(jù)？從安全角度（和效率角度）來看，我的替代設(shè)置是否更好？在這種情況下還有其他提高安全性的建議嗎？感謝你們對(duì)我的幫助。