我正在使用Redis存储访问令牌。我想知道保存到Redis之前是否需要加密令牌。如果是,请解释原因。我正在使用C#和Stackexchange.Redis库。
答案 0 :(得分:2)
如redis documentation的安全性部分所述
Redis旨在供受信任环境中的受信任客户端访问。这意味着通常不建议将Redis实例直接公开到Internet或通常在不受信任的客户端可以直接访问Redis TCP端口或UNIX套接字的环境中公开。
因此,最好保护实例而不是其中的每个数据。正如您提到的,Redis不支持加密,您需要在应用程序层进行处理。您需要使用加密/解密方法来包装命令。
为了提高安全性,我认为您必须通过在配置文件中设置密码来使用authentication。它可能很长,并且会保存在配置文件中,因此每个命令都将需要auth作为先决条件。
如果您关心的是与Redis通信的实例的安全性,那是另一个主题。 auth不会像加密机密一样有用。由于这两个秘密都在攻击者手中,因此他可以检索原始数据。