我目前正在建立一个网站,它集成了Web上的许多服务,如Delicious,Zootool等。其中一些服务让我可以使用OAuth安全地连接它们。其他网站,例如Delicious,迫使我使用HTTP Auth与它们进行通信。
不幸的是,这意味着,我必须以可以恢复为纯文本的方式存储密码。也许使用我网站上的用户密码(哈希)进行加密会有效,但这意味着用户必须在密码更改后再次登录各种服务。
有关优雅解决方案的任何想法吗?
答案 0 :(得分:0)
用户密码哈希在DB上是明确的,所以同样的问题。一种解决方案可能是使用您的站点用户密码加密第三方密码。当用户更改密码时,请询问他的旧密码和新密码。然后使用旧密码解密第三方密码并使用新密码加密它们。
只有在会话中将用户密码保存在任何其他变量上时,此功能才有效。
这样可以避免在db上保存清除密码,但内存中仍然有明确的密码。
答案 1 :(得分:0)
加密和解密数据。例如,使用buildin mysql aes / des方法。
确保您不将密钥存储在数据库中。
答案 2 :(得分:0)
确定为Mongoid创建了以下类:
class EncryptedString < String
include Mongoid::Fields::Serializable
def deserialize(value)
Gibberish::AES.new(ENV['AES_KEY']).decrypt(value)
end
def serialize(value)
Gibberish::AES.new(ENV['AES_KEY']).encrypt(value)
end
end
我的模型代码如下所示:
class User
include Mongoid::Document
field :password, type: EncryptedString
end
有任何疑虑吗?