Security 谷歌应用引擎发送和存储密码的好方法_Security_Google App Engine_Encryption

Security 谷歌应用引擎发送和存储密码的好方法

security google-app-engine encryption

Security 谷歌应用引擎发送和存储密码的好方法,security,google-app-engine,encryption,Security,Google App Engine,Encryption,我的Google应用程序引擎开发已经到了一个关键点，我正在为用户注册。我收集注册信息，进行一些初始验证，以确保内容的长度/格式正确，然后将该信息发送到应用程序引擎进行服务器端验证，并最终注册和登录。我知道，我可以认为应用程序引擎非常安全（不管怎么说，它是谷歌的），我的客户端是Cordova应用程序，它也是安全的，因为它包装在应用程序包中。交互中唯一不安全的部分是我发送的包含密码的HTTP POST请求。我真的认为只有一种方法可以让它更安全。我可能是对的，也可能是错的。我真的不知道我想我可以在本

我的Google应用程序引擎开发已经到了一个关键点，我正在为用户注册。我收集注册信息，进行一些初始验证，以确保内容的长度/格式正确，然后将该信息发送到应用程序引擎进行服务器端验证，并最终注册和登录。我知道，我可以认为应用程序引擎非常安全（不管怎么说，它是谷歌的），我的客户端是Cordova应用程序，它也是安全的，因为它包装在应用程序包中。交互中唯一不安全的部分是我发送的包含密码的HTTP POST请求。我真的认为只有一种方法可以让它更安全。我可能是对的，也可能是错的。我真的不知道

我想我可以在本地加密密码，并在它进入应用程序引擎后解密。问题是，任何监视我的请求的人都可以读取这个解密的值，而他们甚至不需要解密它。他们可以按原样加密发送。我可以通过使加密依赖于只有应用程序引擎知道的其他变量来调整这一点，但我不确定这是否是一种好方法

我对网络安全几乎一无所知，对加密技术知之甚少。使用Google App Engine发送和存储密码的最佳方式是什么？

不要重新发明轮子（如评论中所述），只需使用SSL即可

它适用于

*.appspot.com

域（），但如果您想为您的应用程序启用它，您必须阅读文档。

通过HTTPS发送-应用程序引擎免费提供SSL-使用它！然后在服务器上加密存储。切勿以纯文本形式保存密码。如果您正在使用Python，请查看webapp auth api，它会为您解决所有问题->

永远不要使用自己的加密。你认为世界其他地方是怎么做的？只需使用SSL。另外，您还没有定义“安全”——客户端平台以何种方式“安全”？什么？你真的应该考虑使用OAuth2作为验证方法。@ JQueTeL只适用于默认版本，如果你正在访问.AppStutsURL URL…如果您在自定义域上，则必须按照说明操作。。