繁体 English 中英

访问令牌加密与否

[英]Access token to encrypt or not

原文 2017-03-11 11:51:20 5 2 security/ authentication/ access-token

我们将访问令牌存储在数据库中，它是一个随机字符串，它按原样存储，没有加密。

它必须加密吗？ 是否存在安全隐患？

这取决于这些令牌的目的。 通常永远不会存储访问令牌。 它们不是随机字符串，而是基于严格要求（验证）发布并由HMAC和密钥签名的短期对象。 所有这些都是使它们安全的措施。

如果它们只是随机字符串，则它们不会满足任何这些措施。

您可以在令牌存储在数据库中时加密令牌，以避免在发生数据库泄露时泄露令牌。 但当然，它当然归结为您如何保护/存储您已加密令牌的密钥。

如果您认为可以比数据库存储/访问更好地保护加密密钥，例如通过使用HSM或安全文件存储，那么在存储它之前使用这样的密钥加密令牌是有意义的。

[英]How to encrypt JWT security token?

[英]Encrypt data for multiple user access

[英]get access token with access token?

[英]ID token and access token handling

[英]Access Token and Refresh Token flow

[英]Do I need to encrypt secret access key?

[英]Is openssl_encrypt secure enough to create a session token?

[英]access token usage in authentication

[英]Twitter Access Token Storage

[英]Securely storing an access token

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何加密JWT安全令牌？加密数据以供多用户访问使用访问令牌获取访问令牌？ ID 令牌和访问令牌处理访问令牌和刷新令牌流程我需要加密秘密访问密钥吗？ openssl_encrypt 是否足够安全以创建 session 令牌？身份验证中访问令牌的使用 Twitter访问令牌存储安全存储访问令牌

相关标签