我有一个Two Factor Authentication系统,我需要将自动生成的代码和请求的时间存储在某个表单存储中,以便以后检索它。我需要知道存储这些敏感信息的最佳方式是什么。
我打算使用Session来存储这些敏感信息。当我用谷歌搜索时,在某些地方,人们告诉它不建议使用会话来存储敏感信息。任何机构都可以解释原因。
对此的任何建议都将受到高度赞赏。
由于
答案 0 :(得分:0)
在您的用户数据库中没问题,它是一个Web应用程序,因此数据库应该对最终用户完全隐藏(如果管理得当)。
其余的只是确保您的实际应用程序是安全的 - 即没有SQL注入,没有缓冲区溢出,正确的工作流程都通过您的服务器端身份验证引擎等。
答案 1 :(得分:0)
如果您担心自己的信息,应将其加密后再将其存储在数据库中,为了更安全,建议您可以使用HSM(硬件安全模块)为您进行加密和解密,甚至可以依赖OTP(一个 - 时间密码)用于双因素身份验证。