Ibm mobilefirst IBM Worklight 6.1-WL.Server.setActiveUser凭据，是否安全？

Worklight 6.1文档确定可以将“凭据”（如密码）添加到提供给

WL.Server.setActiveUser（）

的用户标识对象（UIO）中

UIO是如何存储在WL服务器上的&存储在哪里的？这是否被视为安全存储

试图了解将密码存储在此结构中以检索并用于后续后端访问（云）请求的安全含义。如果不安全，可以对UIO的任何部分应用加密吗

---

非常感谢您提供的任何建议。

用户标识对象保存在内存中，其作用域为当前会话。
换句话说，凭证不会持久化；您需要转储服务器内存并对其进行挖掘，或者连接调试器。这被认为是安全的。生产服务器也应该在安全的环境中运行，对流程的访问受到限制，等等。。。当然

适配器可以使用存储在此对象中的凭据代表用户向后端进行身份验证

• 在HTTP适配器中，身份验证方案Basic、Digest和NTLM使用该技术
• 在非HTTP适配器和自定义身份验证方案中，开发人员可以根据需要使用这些凭据