Security OAuth是否适用于存储高度敏感数据(如信用卡)的服务?
我制作了一个iPhone应用程序,供用户预订酒店房间。第三方提供酒店客房预订和信用卡收费服务。目前,我的应用程序没有试图保存信用卡信息。当用户想要预订房间时,它只需将信用卡信息发送给第三方提供商。但是我想保存信用卡信息,这样用户就不必重复输入了 如果我构建了一个存储信用卡数据的RESTful API,那么使用OAuth而不是基本身份验证来保护它是否明智?我可以使用谷歌、Facebook、Twitter等提供的OAuth,这样用户就可以与任何人登录 从技术角度来看,我已经了解到OAuth比基本身份验证更安全。这是真的吗Security OAuth是否适用于存储高度敏感数据(如信用卡)的服务?,security,google-app-engine,oauth,pci-compliance,pci-dss,Security,Google App Engine,Oauth,Pci Compliance,Pci Dss,我制作了一个iPhone应用程序,供用户预订酒店房间。第三方提供酒店客房预订和信用卡收费服务。目前,我的应用程序没有试图保存信用卡信息。当用户想要预订房间时,它只需将信用卡信息发送给第三方提供商。但是我想保存信用卡信息,这样用户就不必重复输入了 如果我构建了一个存储信用卡数据的RESTful API,那么使用OAuth而不是基本身份验证来保护它是否明智?我可以使用谷歌、Facebook、Twitter等提供的OAuth,这样用户就可以与任何人登录 从技术角度来看,我已经了解到OAuth比基本身份
值得一提的是,我可能会使用谷歌应用引擎作为后端。由于AppEngine最近已与PCI DSS兼容,这应该没问题。当然,应用程序引擎使用SSL。因此,我只需要确保我的应用程序正确地进行了身份验证,因此我提出了这个问题。o我只需要确保我的应用程序正确地进行了身份验证,而不是这样。你必须确保黑客即使进入你的数据库也无法读取信用卡。非常好的观点@ZigMandel。我假设谷歌云数据存储将实现自己的加密。但我不知道它们的内部结构。这是我应该自己做的事情吗?在开始这项任务之前,你需要阅读更多关于安全性的内容。想想你保存谷歌密码的所有机器。想想如果你的谷歌账户被黑客入侵会发生什么。数据存储对数据进行加密与此无关。你被黑客入侵的账户很容易被入侵。解决这个问题。非常感谢@ZigMandel。如果我进一步加密每条记录呢?例如,我可以将用户上次进行身份验证的unix时间与一些其他信息连接起来。然后我可以用SHA-512或MD5之类的东西散列连接的值。这里讨论的范围太广了。哈希不适用,因为您需要稍后返回抄送号码,而不是像在密码中那样进行比较。加密是很好的,但是考虑如何保护密钥本身以及如何正确地填充小数据等。例如,将encription键直接保留在源代码中,并在appengine中禁用源代码下载。那么,一个能够访问你的谷歌账户的黑客甚至连钥匙都拿不到。