我有一个Django 1.9应用程序需要通过SMTP和REST API访问一些外部服务。这些都使用应用程序需要访问的用户名/密码组合进行身份验证。为了加快系统其余部分的开发速度,我刚刚使用了一个我从中读取的文件。这显然不是一个长期的解决方案,但我不确定如何用更安全的东西替换它。
如何从当前的实践转向更安全的实践,我的应用程序仍然可以访问所需的用户名/密码?
答案 0 :(得分:3)
如果满足以下要求,可以将凭证存储在服务器上的文件中:
如果入侵者有权访问服务器并拥有超级用户权限,那么无论如何你都被搞砸了。他或她可以执行内存转储并从中提取凭据。