Question

我正在使用WSO2 Identity Server v5.6.0。
我想加密保存在数据库中的用户名和电子邮件。

documentation说，作为“个人数据保护”的一部分，WSO2 IS正在对用户凭证进行哈希处理：

但是，在诸如IDN_OAUTH2_ACCESS_TOKEN之类的表中 IDN_IDENTITY_USER_DATA UserName列包含纯文本数据。

我的问题是：
如何对UserName列进行编码或加密以使个人数据更安全？
或广义上讲，在将信息存储到数据库中之前，我如何让WSO2对其进行加密？

Answer 1

我不熟悉WSO2，但是：

1）哈希与加密不同。散列（理想情况下）是不可逆的，这就是重点。加密是一个可逆散列，可以在其中恢复源（纯文本）。

2）用户名可能是WSO2解密或交叉引用任何哈希（或加密）中给定数据所需的引用。我希望不会，但是...

3）加密/散列很可能在数据传输过程中发生，而不是在数据静止时发生。如果您正在查看数据存储库并看到纯文本用户名，这很可能是因为WSO2加密/散列机制未覆盖服务器（或其他位置）上的数据。

 - Are other fields in your database table hashed? 
 - Can you see any [other] non-hashed output to your endpoint browser (ie end user)?

4）

[我想]使个人数据更安全

加密用户名将如何帮助您？什么样的数据盗窃将防止？保护不同数据免受不同威胁的方式不同。例如，散列（如链接文档中所述）与加密（根据您的要求要实现）完全不同。

如果您可以回答上述问题，将会有很大帮助。谢谢。

Answer 2

文档说，作为“个人数据保护”的一部分，WSO2 IS正在对用户凭据进行哈希处理

默认情况下，使用默认用户存储对用户密码进行哈希处理，您可能会看到 http://xacmlinfo.org/2015/06/10/user-password-hashing-with-wso2-identity-server-wso2is/对于其他用户存储类型，这都取决于底层实现（例如LDAP）

如何对UserName列进行编码或加密以使个人数据更安全？

或者广义上讲，在将信息存储到数据库中之前，我如何让WSO2对其进行加密？

您可以采用简单或困难的方式。

简单-使用JDBC用户存储，您可以配置“高级”属性并定义自己的SQL命令来更新或查询数据（包括数据加密）。 https://docs.wso2.com/m/mobile.action#page/87705730