那些遇到过的问题

我*必须*在我的数据库中存储第三方凭据.最好的办法?

Dus*_*etz 7 python security authentication passwords google-app-engine

我的应用必须从第三方读取SSL网址.如何在我自己的数据库中最好地存储第三方凭据,以保护第三方凭据不被泄露?考虑绝对的安全性和实用性.单向散列凭证无用,因为我必须将凭证恢复为明文以进行SSL调用.我在谷歌应用引擎上使用python,我的应用程序使用谷歌凭据进行身份验证.

  • 使用例如AES加密凭证并将加密密钥保存在其他地方(只是移动问题),或者从凭证中获取凭证并保持算法的秘密(只是移动问题)
  • 使用同步流密码加密凭证,从凭证中导出(非)熵并保持算法的秘密(只是移动问题)
  • 在一个专门存储第三方凭据的单独的网络应用程序上,提供一个SSL网址来接收第三方凭据,这个网址是通过谷歌凭证访问(与我的应用程序相同),并可以使用authsub或其他东西将授权转移到其他网络应用程序.这听起来更安全,因为它更难以破解一个简单的简单webapp,如果我的复杂的主应用程序受到损害,第三方凭据不会暴露.

您如何看待所有方法?

Vin*_*vic 2

这是一项艰巨的任务,没有任何方法可以帮您省去确保不存在薄弱环节的麻烦。对于初学者来说,我不知道在 Google 上托管是否是最好的方法,因为您将失去控制权(我真的不知道 App Engine 的设计是否考虑到了所需的安全级别,您应该发现出)并且可能无法进行渗透测试(你应该这样做。)

拥有一个单独的小型应用程序可能是一个好主意,但这并不能避免您必须在这个较小的应用程序中以一种或另一种方式加密凭证本身。它只会让你变得简单,从而使事情更容易分析。

我个人会尝试设计该应用程序,以便每次使用后按键都会随机变化,采用一种一次性的方法。您没有足够详细地指定应用程序来查看这是否可行。

归档时间:

查看次数:

1940 次

最近记录:

15 年,10 月 前
相关归档
JSON对象中的项目使用"json.dumps"乱序? 140
如何在CPython中实现生成器和协同程序? 47
如何永久地将`http://`和`www.的URL重定向到`https://`? 27
向所有人公开django media_url不是不安全吗? 9
RPC身份验证错误 9
在Google App Engine下从数据库动态加载Python应用程序代码 7
随机密码生成器Bash 7
检测硬编码密码 6
IE11覆盖Intranet环境中的Bearer授权头 5
如何在Google HTTP Client中增加ReadTimeout 5
难疑归档
如何异步上传文件? 2841
获取屏幕大小,当前网页和浏览器窗口 1927
ListView中的图像延迟加载 1881
比较Java枚举成员:==或equals()? 1645
在jQuery中检测移动设备的最佳方法是什么? 1564
在UITableView中使用自动布局来获取动态单元格布局和可变行高 1477
确定数组是否包含值 1300
在Node.js中读取环境变量 1240
适用于PDF文件的MIME媒体类型 1229
如何通过对象中的属性对List <T>进行排序 1146