我正在開發API的客戶端,該API不適合此API的普通客戶端的配置文件。此api要求用戶使用用戶/密碼對或會話密鑰進行身份驗證。然而,會話密鑰只有在用戶未在別處進行身份驗證時纔會持續。每當會話過期時讓用戶重新輸入密碼是不可行的。目前,在開發應用程序時,我一直在MySQL中以明文存儲密碼。我想爲生產客戶避免這種情況。我需要以明文形式將這些密碼發送給服務時,如何保護這些密碼?如何避免存儲我需要以純文本訪問的用戶密碼?
1
A
回答
0
使用數據庫加密來發送和接收敏感信息。
這樣,黑客也需要訪問數據庫並找出加密模式以揭示密碼。有一些軟件可以爲您做到這一點,比如ProtectDB(http://www.safenet-inc.com/data-protection/database-encryption/protect-db/)
或者您可以自己開發!
0
使用散列算法(例如SHA512(http://www.php.net/manual/en/function.hash.php))對註冊時的密碼進行加密。
然後,當用戶使用其用戶名和密碼登錄時,對密碼進行加密,並將其與數據庫中存儲的密碼進行覈對。
相關問題
- 1. SVN避免以純文本格式存儲密碼?
- 2. 存儲純文本密碼
- 3. 避免將密碼存儲爲明文?
- 4. 如何讓django以純文本保存用戶密碼?
- 5. 使Django.contrib.auth存儲純文本密碼
- 6. 如何避免在Linux上的.odbc.ini文件中存儲用戶名/密碼?
- 7. 以純代碼避免IORefs
- 8. 安全存儲密碼時仍需要訪問明文
- 9. 如何避免在版本控制中存儲密碼?
- 10. 如何訪問SoapUI中的wsdl URL,需要用戶名/密碼?
- 11. 我如何避免保存用戶名和密碼在PowerShell腳本
- 12. 如何在webapp中存儲需要以純文本傳遞給第三方的密碼?
- 13. Git push:如何避免多個存儲庫中的用戶名和密碼?
- 14. 臨時密碼安全 - 以純文本形式存儲
- 15. Firebase避免非法訪問存儲
- 16. SharePoint站點詢問用戶名和密碼,如何避免?
- 17. 如何避免,URL.equals需要訪問Java中的互聯網?
- 18. 亞馬遜S3 - 我們需要存儲訪問和密鑰?
- 19. 調用每次調用都需要用戶名和密碼的SOAP服務。我應該如何存儲密碼?
- 20. Facebook checkins,需要用戶訪問密鑰
- 21. 避免密碼
- 22. Ruby on Rails - 使用authlogic存儲純文本密碼
- 23. Silverlight - 訪問需要用戶名/密碼的肥皂服務
- 24. 訪問需要Java密碼的網頁?
- 25. 如何以加密形式存儲用戶名和密碼?
- 26. 我需要保留我的訪問令牌的密碼
- 27. passlib.hash.sha256_crypt足以存儲用戶密碼嗎?
- 28. 導入用戶時,如何將純文本密碼轉換爲django密碼?
- 29. Powershell:如何連接到存儲非純文本用戶名/密碼的其他域上的網絡文件夾
- 30. Php:我的框架禁用直接文件訪問,但我需要避免這種情況,如何?
存儲它們的哈希表,然後將該哈希與數據庫存儲的哈希進行比較? –
[Block ciphers,salt,AES,MySQL以及有關憑證存儲的最佳做法]的可能重複(http://stackoverflow.com/questions/15734892/block-ciphers-salt-aes-mysql-and-best-practices- around-credential-storage) – Brad
閱讀我鏈接到的問題的評論。 SLaks對RSA的建議要好得多,我也是在類似的情況下做的。 – Brad