Ali*_*ium 8 passwords django web-services password-protection
我正在Django中编写一个Web应用程序,它与Read it Later List API(http://readitlaterlist.com/api/docs/)连接.但是,所有API调用都需要在每次请求时发送用户名和密码.为了做到这一点,我似乎需要在我的数据库中以纯文本形式存储用户的密码.我错过了什么,或者这是唯一可行的办法吗?有没有办法在我的数据库中存储加密的密码,但是在进行API调用时能够发送它的解密版本?如果没有,那么我是否应该遵循以保护用户密码的最佳做法?
我很确定这不是唯一需要以纯文本形式发送密码的服务.我很想知道开发人员如何处理这类服务.我是网络开发的新手,所以任何帮助或指针都表示赞赏.
您的用户是否必须登录您的网站才能使用它?如果你也正在使用密码认证方案,你可以重温一下.使用站点的登录密码作为对称密钥密码中的密钥来加密api密码.那么你只需要存储用户密码的哈希值(到你自己的站点)和远程api的加密密码.
切勿以纯文本形式保存密码。您可以加密和解密密码,但问题是用于加密和解密的密钥通常可以被任何有权访问您的服务器的人访问,因此它不安全。
另一种方法是要求他们输入密码并将其保存在加密的 cookie、会话变量或其他内容中,这些内容在他们退出您的应用程序后就会过期。这样做的缺点是他们每次使用您的应用程序时都必须输入密码。
| 归档时间: |
|
| 查看次数: |
2235 次 |
| 最近记录: |