Authentication 如果我只有一个用户可以随时手动更改密码，我可以硬编码密码吗

我试图找出人们是否曾经为那些用户不超过1个但尚未找到的web应用程序硬编码密码

然而，这种假设情况可能是真实的：“一个使用SSL的应用程序，有一个用户可以随时更改代码，并随时部署”

如果开发人员能够随意更改代码和部署，是否需要： 1.加密密码，然后 2.将该密码（或其哈希）存储在某些DBMS中。 ?

---

谢谢。

一般来说，硬编码密码是个坏主意，但这取决于你在做什么。如果您正在构建一个完全为自己使用的东西，它只部署到您的本地计算机上，并与世界其他地方进行防火墙隔离，那么这将是一个合理的时间，不必担心正确的身份验证。否则你可能想把事情做好

需要考虑的几件事：

谁有权访问来源？如果开发人员以外的任何人都能看到源代码，那么硬编码密码将是一件坏事

未经授权的用户会造成多大的损害？如果它们会造成很大的损害，那么不要硬编码密码

web应用程序是否仅从一台计算机上可用？这可能会缓解一些安全问题

您的单个用户是可以部署新代码的用户吗？如果是这样的话，您也不必担心身份验证，因为该用户可以只部署不检查密码的代码

通常很容易输入正确的密码验证。几乎每个web开发框架都支持良好的密码存储（例如bcrypt），那么为什么不利用它呢