Ứng dụng của tôi phải đọc url SSL từ bên thứ ba. Làm thế nào để lưu trữ tốt nhất thông tin đăng nhập của bên thứ ba trong cơ sở dữ liệu của riêng tôi, bảo vệ thông tin đăng nhập của bên thứ ba khỏi bị xâm nhập? Hãy xem xét cả an ninh tuyệt đối và tính thực tiễn. Một cách băm thông tin đăng nhập không hữu ích vì tôi phải khôi phục thông tin đăng nhập vào văn bản thuần túy cho cuộc gọi SSL. Tôi đang sử dụng python trên công cụ ứng dụng của google và ứng dụng của tôi xác thực bằng thông tin đăng nhập google.i * phải * lưu trữ thông tin đăng nhập của bên thứ ba trong cơ sở dữ liệu của tôi. cách tốt nhất?
- bằng chứng xác thực mã hóa bằng cách sử dụng ví dụ: AES và lưu khóa mã hóa ở một nơi khác (chỉ cần di chuyển vấn đề) hoặc derive it from the credentials and keep the algorithm secret (chỉ cần di chuyển vấn đề)
- thông tin mã hóa bằng cách sử dụng synchronous stream cipher, lấy entropy (không) từ thông tin xác thực và keep the algorithm secret (chỉ di chuyển vấn đề)
- trên một ứng dụng web riêng biệt dành riêng cho lưu trữ thông tin đăng nhập của bên thứ ba, cung cấp url SSL để nhận thông tin đăng nhập của bên thứ ba, url này được truy cập bằng thông tin đăng nhập google (giống như ứng dụng của tôi) và có thể sử dụng authsub hoặc thứ gì đó để chuyển ủy quyền cho người khác ứng dụng web. điều này nghe có vẻ an toàn hơn bởi vì nó khó khăn hơn để hack một ứng dụng web đơn giản tầm thường và nếu ứng dụng chính phức tạp của tôi bị xâm phạm thì thông tin đăng nhập của bên thứ ba không được hiển thị.
bạn nghĩ gì về tất cả các phương pháp tiếp cận?
không rõ bạn đang hỏi gì? URL SSL ở đó để mã hóa thông tin đăng nhập được gửi qua đó. –
Tôi sợ lưu trữ thông tin đăng nhập bên ngoài trong cơ sở dữ liệu của mình –
Tôi không thấy cách tiếp cận thứ ba cũng không di chuyển vấn đề. Nó chỉ di chuyển nó đến một ứng dụng khác, thay vì cùng một ứng dụng. –