那些遇到过的问题

我*必须*在我的数据库中存储第三方凭据.最好的办法?

Dus*_*etz 7 python security authentication passwords google-app-engine

我的应用必须从第三方读取SSL网址.如何在我自己的数据库中最好地存储第三方凭据,以保护第三方凭据不被泄露?考虑绝对的安全性和实用性.单向散列凭证无用,因为我必须将凭证恢复为明文以进行SSL调用.我在谷歌应用引擎上使用python,我的应用程序使用谷歌凭据进行身份验证.

  • 使用例如AES加密凭证并将加密密钥保存在其他地方(只是移动问题),或者从凭证中获取凭证并保持算法的秘密(只是移动问题)
  • 使用同步流密码加密凭证,从凭证中导出(非)熵并保持算法的秘密(只是移动问题)
  • 在一个专门存储第三方凭据的单独的网络应用程序上,提供一个SSL网址来接收第三方凭据,这个网址是通过谷歌凭证访问(与我的应用程序相同),并可以使用authsub或其他东西将授权转移到其他网络应用程序.这听起来更安全,因为它更难以破解一个简单的简单webapp,如果我的复杂的主应用程序受到损害,第三方凭据不会暴露.

您如何看待所有方法?

Vin*_*vic 2

这是一项艰巨的任务,没有任何方法可以帮您省去确保不存在薄弱环节的麻烦。对于初学者来说,我不知道在 Google 上托管是否是最好的方法,因为您将失去控制权(我真的不知道 App Engine 的设计是否考虑到了所需的安全级别,您应该发现出)并且可能无法进行渗透测试(你应该这样做。)

拥有一个单独的小型应用程序可能是一个好主意,但这并不能避免您必须在这个较小的应用程序中以一种或另一种方式加密凭证本身。它只会让你变得简单,从而使事情更容易分析。

我个人会尝试设计该应用程序,以便每次使用后按键都会随机变化,采用一种一次性的方法。您没有足够详细地指定应用程序来查看这是否可行。

归档时间:

查看次数:

1940 次

最近记录:

16 年,4 月 前
相关归档
如何打开IDLE中的行号? 105
Keras如何处理多标签分类? 56
为什么在python中以'w'模式打开文件时会截断 44
PHP:反洪水/垃圾邮件系统 11
安全地从jQuery调用安全的WebService 9
超薄3中间件重定向 7
如何在Google App Engine UrlFetch服务上更改User-Agent? 6
IIS7 - 如何使用Web.config文件密码保护单个文件夹? 5
如何循环$ _GET数组并转义其所有变量? 1
没有数据库的 Laravel 5.4 基本身份验证 1
难疑归档
如何检查jQuery中是否选中了复选框? 4390
我应该在MySQL中使用日期时间或时间戳数据类型吗? 2598
如何迭代Pandas中的DataFrame中的行? 1551
如何在git中按名称命名和检索存储? 1276
如何将键/值对添加到JavaScript对象? 1270
虚拟成员在构造函数中调用 1270
是否有"以前的兄弟"CSS选择器? 1253
从JS数组中删除重复值 1225
为什么有两种方法可以在Git中取消暂存文件? 1109
iOS 6上的Safari缓存$ .ajax结果吗? 1057