在Redis中存储访问令牌
我正在使用Redis存储访问令牌。我想知道在保存到redis之前是否需要加密令牌。如果是,请解释原因。我使用的是C#和Stackexchange.Redis库。如本手册安全部分所述 Redis设计为可由可信环境中的可信客户端访问。这意味着,通常将Redis实例直接公开到internet上,或者通常公开到不受信任的客户端可以直接访问Redis TCP端口或UNIX套接字的环境中,不是一个好主意 因此,最好保护实例,而不是其中的每个单独数据。Redis不支持加密,正如您提到的,您需要在应用程序层进行处理。您需要通过加密/解密方法包装这些命令 为了额外的安全性,我认为您必须通过在配置文件中设置密码来使用在Redis中存储访问令牌,redis,stackexchange.redis,Redis,Stackexchange.redis,我正在使用Redis存储访问令牌。我想知道在保存到redis之前是否需要加密令牌。如果是,请解释原因。我使用的是C#和Stackexchange.Redis库。如本手册安全部分所述 Redis设计为可由可信环境中的可信客户端访问。这意味着,通常将Redis实例直接公开到internet上,或者通常公开到不受信任的客户端可以直接访问Redis TCP端口或UNIX套接字的环境中,不是一个好主意 因此,最好保护实例,而不是其中的每个单独数据。Redis不支持加密,正如您提到的,您需要在应用程序层进行
身份验证。它可以很长,并将保存在配置文件中,因此每个命令都需要auth
作为先决条件
若您关心的是和redis通信的实例的安全性,那个就另当别论了<代码>身份验证
不会像加密机密一样有帮助。由于这两个秘密都掌握在攻击者手中,因此他可以检索原始数据。如安全部分所述
Redis设计为可由可信环境中的可信客户端访问。这意味着,通常将Redis实例直接公开到internet上,或者通常公开到不受信任的客户端可以直接访问Redis TCP端口或UNIX套接字的环境中,不是一个好主意
因此,最好保护实例,而不是其中的每个单独数据。Redis不支持加密,正如您提到的,您需要在应用程序层进行处理。您需要通过加密/解密方法包装这些命令
为了额外的安全性,我认为您必须通过在配置文件中设置密码来使用身份验证。它可以很长,并将保存在配置文件中,因此每个命令都需要auth
作为先决条件
若您关心的是和redis通信的实例的安全性,那个就另当别论了<代码>身份验证
不会像加密机密一样有帮助。由于这两个秘密都在攻击者手中,他可以检索原始数据。为什么要加密?在保存到另一个数据库(如RDBMs)时是否加密?我关心的是,如果攻击者访问了缓存,然后他/她就可以访问所有令牌,该怎么办。别忘了在Redis实例上设置密码。为什么要加密?在保存到另一个数据库(如RDBMs)时是否加密?我关心的是,如果攻击者访问了缓存,然后他/她可以访问所有令牌,该怎么办。别忘了在您的Redis实例上设置密码。