Passwords 将我的用户登录到其他服务,如何存储他们的密码?
我正在为学校的学生提供一项服务,要求他们向我提供学校网络系统的用户帐户信息,这样我就可以为他们自动化一些烦人的任务。我将使用CURL让他们登录,但我很难弄清楚如何用安全的方法存储他们的密码。对于大多数web服务,密码都是加密的,然后存储,登录时,我们只比较加密的密码。不过,情况大不相同。因为我将通过HTTP请求发送他们的密码,所以我必须能够将他们的密码解密回原始文本。您建议我如何存储和检索它们?这可能不是您正在寻找的答案,但如果您要存储用户的第三方服务凭据,则无法仅使用软件来保护存储。正如您自己提到的,您的应用程序需要能够从该存储中检索原始凭据,以便模拟用户。如果你的应用程序能做到这一点,那么在这个盒子上运行的任何其他代码也能做到 因此,唯一真正的解决方案是确保只有您的软件在机箱上运行。这还假设了物理安全性、对机器的访问受限、完全审计以及通过关闭所有不必要的服务尽可能降低攻击面Passwords 将我的用户登录到其他服务,如何存储他们的密码?,passwords,Passwords,我正在为学校的学生提供一项服务,要求他们向我提供学校网络系统的用户帐户信息,这样我就可以为他们自动化一些烦人的任务。我将使用CURL让他们登录,但我很难弄清楚如何用安全的方法存储他们的密码。对于大多数web服务,密码都是加密的,然后存储,登录时,我们只比较加密的密码。不过,情况大不相同。因为我将通过HTTP请求发送他们的密码,所以我必须能够将他们的密码解密回原始文本。您建议我如何存储和检索它们?这可能不是您正在寻找的答案,但如果您要存储用户的第三方服务凭据,则无法仅使用软件来保护存储。正如您自己
在单独的注释中,如果学校服务支持访问委托(例如通过OAuthe),您应该考虑走这条路线,并退出存储业务的凭据。
< P>这可能不是您正在查看的答案,但是如果您要为第三方服务存储用户的凭据,无法仅使用软件保护存储。正如您自己提到的,您的应用程序需要能够从该存储中检索原始凭据,以便模拟用户。如果你的应用程序能做到这一点,那么在这个盒子上运行的任何其他代码也能做到 因此,唯一真正的解决方案是确保只有您的软件在机箱上运行。这还假设了物理安全性、对机器的访问受限、完全审计以及通过关闭所有不必要的服务尽可能降低攻击面在单独的注释中,如果学校服务支持访问委托(例如通过OAuthe),您应该考虑走这条路线,并退出存储业务的凭据。< /P>