我的应用程序连接到许多其他应用程序,因此我需要在我的数据库中存储其他应用程序的用户名/密码。
我不想将它们存储为纯文本,但我的应用程序需要发送纯文本密码以进行身份验证。
请建议安全存储密码的最佳方法。
谢谢。
问问题
86 次
2 回答
0
很少有必要(如果有的话)使用可逆加密策略来存储密码。存储密码的原因是用户可以在将来的某个时间向您证明他们的身份(对于“证明”的某些值),这通常可以使用像 MD5 或 SHA1 这样的单向哈希来完成。
使用单向哈希来存储您的密码确实可以保护您的用户免受入侵者访问您的系统,因为没有密钥可以让他们从加密密码中获取明文。
于 2013-12-12T05:41:55.620 回答
0
对数据库中的敏感数据字段使用可逆加密(可能是 AES),并让您的应用程序在每次需要该值时对其进行解密。您需要以某种方式让您的应用程序可以访问加密密钥,但这可能应该在特定于部署的配置文件中。
如果有人获得了您的数据库转储而不是您的应用程序所在的文件系统的转储,这将保护您。
于 2013-10-22T13:16:45.430 回答