我目前正在开发一个 django 应用程序。
我需要存储用户数据。任何其他用户或管理员必须无法使用此数据
我创建了一个专用的用户帐户系统(不使用 dj auth)。(也许我可以修改它,但这不是这里的主题..)
用户密码使用 passlib 进行哈希处理。
用户数据使用 AES 和用户密码(未散列:p)作为密钥进行加密。
我在想 :
- 当加密使用此密码作为密钥时,保留散列密码和加密数据是否安全?
- 我可以用用于加密用户数据的 AES IV 做什么?在我创建用户时生成它并将其保存在用户表中,在散列密码旁边?