我正在开发基于第三方软件API(cPanel)的自定义CMS。我不需要在数据库中存储用户名+密码,但我需要在用户登录时存储用户名和密码。
我决定将密码存储在用户的会话会话中。
我无法使用MD5,SHA,哈希等,因为密码会转到第三方软件。
我无法将它们存储在数据库中,因为我无法使用MD5,SHA等。
在会话中存储用户密码是否安全?你知道一种安全的方式吗?
答案 0 :(得分:3)
第三方应提供某种会话标识符(哈希),您不应该访问用户的用户名和密码,并且不惜一切代价,甚至没有机会以任何方式保存它们......
不应保存密码,或者您能否告诉我们您需要保存密码的充分理由?
编辑:这应该是解决方案:http://docs.cpanel.net/twiki/bin/view/SoftwareDevelopmentKit/ApiAuthentication#Sample%20PHP%20script和http://docs.cpanel.net/twiki/bin/view/AllDocumentation/WHMDocs/RemoteAccess
答案 1 :(得分:0)
如果您无法使用任何加密,请不要在会话中保存密码,就像有人拿到您的会话密钥一样,他可以很容易地获取您的密码。将其保存在数据库中将更加安全和适当。