前端如何实现“记住密码”功能

关键点说明：

• autocomplete：这是提示浏览器自动填充的关键属性。username 和 current-password 是标准值。
• type="password"：浏览器通过此类型识别密码字段。
• 规范的 name 属性：如 username、password 等，能帮助浏览器更准确地识别。

当表单提交且服务器验证成功后，如果用户勾选了'记住我'，浏览器会自动弹出对话框询问是否保存密码。这个提示由浏览器控制，网站无法强制触发。

方案二：前端持久化存储（需谨慎考虑）

有时我们需要实现的是'记住登录状态'而非让浏览器管理密码本身（例如保持用户一周内免登录）。这时会使用前端存储，但切记不要存密码。

使用 Cookie

function handleLogin(username, password, rememberMe) {
  // 向服务器发送登录请求...
  if (loginSuccess && rememberMe) {
    // 服务器在响应中设置一个长期的、HttpOnly 的认证 Token Cookie
    // 示例：Set-Cookie: session_token=abc123; Max-Age=604800; HttpOnly; Secure
    // 前端仅通过是否勾选'记住我'来影响服务器对 Cookie 有效期的设置
  }
}

使用 Web Storage（仅存储标识）

// 登录成功后
if (rememberMe && loginSuccess) {
  // 存储一个非敏感的、服务器颁发的 Token（而非密码！）
  localStorage.setItem('auth_token', serverResponse.token);
  localStorage.setItem('username', username); // 仅用于显示，不用于认证
}

// 下次访问时检查
window.addEventListener('DOMContentLoaded', function() {
  const token = localStorage.getItem('auth_token');
  if (token) {
    // 使用 Token 向服务器请求验证，获取登录态
    autoLoginWithToken(token);
  }
});

安全考量与实践准则

记住密码功能在安全上如履薄冰，以下是必须遵守的准则：

最佳实践总结

1. 优先使用浏览器原生功能：对于'记住密码'，最安全的方式是让浏览器管理。确保你的登录表单语义清晰（规范的 autocomplete 和 type）。
2. 区分'记住密码'和'保持登录'：
   • 记住密码：让浏览器保存凭证，下次自动填充。适用于个人设备。
   • 保持登录：在用户关闭浏览器再打开后，通过安全的 Token 自动登录。实现时服务器颁发一个有时效性的 Token（如 7 天）。
3. 给予用户控制权：在'账户设置'中提供'查看已保存设备'和'远程登出'的功能，增加用户安全感。
4. 清晰的视觉提示：当密码被自动填充或用户处于'记住登录'状态时，应有明确的界面提示。
5. 关键操作重新验证：即使用户处于'记住登录'状态，在进行支付、修改密码等敏感操作时，仍应要求重新输入密码或进行二次验证。