我实现了我的用户身份验证,包括在 pre-save-hook 中的 mongoose 中的密码散列(参见文章https://www.mongodb.com/blog/post/password-authentication-with-mongoose-part-1)。
一切正常,但我发现了一个安全问题:WiredTiger 在执行钩子之前记录日志,因此我在服务器上获得了一个日志文件,其中包含明文形式的密码。
我启用了文件加密(https://docs.mongodb.com/manual/tutorial/configure-encryption/),但这并不能完全解决这个问题,因为 root 用户等仍然可以访问。
有没有可能解决这个问题?
问候,托拜厄斯