Jos*_*eph 5 python security encryption django postgresql
我正在开发一款网络应用程序,该应用程序依赖于一个或多个第三方网站的数据。这些网站不提供任何类型的身份验证 API,因此我使用非官方 API 从第三方网站检索数据。
我计划要求用户提供第三方网站的凭据。我知道这需要用户信任我和我的工具,我打算通过尽可能安全地存储凭据并明确共享其凭据的风险来尊重这种信任。
我知道现在有一些流行的工具可以解决这个问题。例如,Mint.com 需要用户提供其财务帐户的凭据,以便定期检索交易信息。LinkedIn 要求用户提供电子邮件凭据,以便获取他们的联系人信息。
存储用户凭据的安全设计是什么?特别是,我正在编写一个 Django 应用程序,并且可能会构建在 PostgreSQL 后端之上,但我对其他想法持开放态度。
就其价值而言,从这些第三方网站访问的数据远不及财务帐户、电子邮件帐户或社交网络个人资料/帐户的水平。也就是说,我打算以最大的尊重对待这种访问,这就是为什么我首先在这里寻求帮助。
在存储密码/秘密时,\xe2\x80\x99 不存在安全设计之类的东西。只有\xe2\x80\x99s,您愿意接受多少安全开销权衡。以下是我认为您应该做的最低限度的事情:
\n\n