你在手机上登录购物网站,页面加载飞快,点开商品图几乎不用等。这背后是缓存的功劳——把常用数据暂存在本地,省去重复下载。但你有没有想过,这些“临时存放”的数据,会不会被别人偷看?
缓存不是垃圾桶,也可能藏秘密
很多人觉得缓存只是提升速度的工具,清不清都无所谓。可实际上,缓存里可能存着你的登录状态、浏览记录,甚至部分敏感信息。比如在公共WiFi下使用某App,它把会话令牌缓存在本地,如果没做保护,设备一旦丢失或被恶意软件扫描,账号就可能被冒用。
光有缓存策略不够,得加上锁
合理的缓存策略能决定哪些数据该存、存多久、何时更新。比如设置敏感接口的响应缓存有效期为5分钟,过期自动丢弃,避免长期滞留。但策略再精细,如果数据本身是明文存储,依然不安全。
这就需要加密存储介入。哪怕缓存的数据被提取出来,看到的也是一串乱码。常见的做法是在写入缓存前用AES算法加密,读取时再解密。虽然多了一步处理,但换来的是实实在在的安全感。
const crypto = require('crypto');
const encrypt = (text, secret) => {
const iv = crypto.randomBytes(16);
const cipher = crypto.createCipheriv('aes-256-cbc', Buffer.from(secret), iv);
let encrypted = cipher.update(text, 'utf8', 'base64');
encrypted += cipher.final('base64');
return iv.toString('base64') + ':' + encrypted;
};
// 使用示例:将用户信息加密后存入缓存
const userInfo = JSON.stringify({ id: 12345, name: '张三' });
const encryptedData = encrypt(userInfo, process.env.CACHE_SECRET);
cache.set('user_session', encryptedData, 'EX', 300); // 5分钟过期日常使用也能注意的小细节
普通用户不需要自己写代码,但可以留意App是否提供“私密模式”或支持生物识别解锁。这类功能往往意味着缓存中的关键数据已被加密。另外,别随便给App“全部文件访问权限”,尤其是那些看起来和文件无关的工具类软件。
下次清理手机存储时,别只盯着相册和视频。进设置里看看哪些App的缓存特别大,顺手清除掉,特别是你已经不常用的。