1

假设我正在编写一个程序或应用程序,要求我代表他们对用户进行身份验证,即要求用户提供他们的凭据以登录网站或检索和处理数据。

我怎样才能以保证用户安全的方式做这样的事情,最好是这样我什至根本看不到他们提供的凭据。如果这是不可能的,如何确保用户的隐私和安全不会以任何方式受到损害。

4

1 回答 1

0

最简单但可能对您没有用的答案是:

您不能保证隐私和安全不受影响!作为服务器上的管理员,如果您接收并存储用户凭据,您就可以访问它们。

不可变的安全法则#6:只有管理员值得信赖,计算机才是安全的

所以考虑一下你会接受什么样的安全级别。

您可以使用 OpenID 之类的东西,就像 StackExchange 使用的一样 - 它从他们的职责中删除了身份验证部分。只有 OpenID 提供者接收凭据 - SE 只是从他们那里获取令牌。

于 2013-02-23T14:13:01.110 回答