簡體 English 中英

安全存儲訪問令牌

[英]Securely storing an access token

原文 2012-09-18 22:38:04 2 1 security/ encryption/ oauth/ access-token

我應該采取哪些安全措施來確保我的數據庫遭到入侵，長期訪問令牌不會被盜？

長期訪問令牌與特定服務的用戶名和密碼一樣好，但是通過與其他人交談，它似乎最多（包括我自己）以純文本形式存儲訪問令牌。 這似乎與在純文本中存儲密碼一樣糟糕。 顯然，人們不能對令牌進行加鹽和散列。

理想情況下我想加密它們，但我不確定最好的方法，特別是在開源項目上。

我想這個問題的答案類似於存儲支付信息和PCI合規性的答案，但我也會問為什么沒有更多的討論呢？ 也許我錯過了一些東西。

您是否只想驗證他人提供的令牌？ 如果是這樣，請將其視為密碼。 使用字節派生算法，如基於密碼的密鑰派生函數2（PBKDF2）（也在RFC 2898中描述），具有10,000次迭代並存儲前20個字節左右。 收到令牌時。 它實際上並不可逆。

您是否要將令牌呈現給其他人進行身份驗證？ 如果是這樣，這是一個挑戰，因為如果您的應用程序可以解密或以其他方式訪問令牌，攻擊者也可以。 想想Shannon的Maxim，攻擊者就知道這個系統，特別是對於一個開源項目。

在這種情況下，最好的方法是使用強算法（例如AES256）加密令牌，使用強加密標准隨機數生成器生成密鑰，並將密鑰安全地存儲在與數據不同的位置，例如上例中數據庫外的受權限保護文件。 后者意味着SQL注入攻擊不會泄露密鑰。

[英]Django - Storing a users API session token securely

[英]Securely storing auth token in React Frontend

[英]How to securely get access token from Marketo

[英]How to securely store access token and secret in Android?

[英]Where to store access token securely in UWP application?

[英]Is storing a permanent access token as good as storing password?

[英]Storing Scripts Securely

[英]Storing usernames and passwords securely

[英]Storing 1 password in database securely

[英]Securely storing data

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Django-安全地存儲用戶API會話令牌在React前端安全地存儲身份驗證令牌如何安全地從Marketo獲取訪問令牌如何在 Android 中安全地存儲訪問令牌和秘密？在 UWP 應用程序中安全存儲訪問令牌的位置？存儲永久訪問令牌與存儲密碼一樣好嗎？安全地存儲腳本安全地存儲用戶名和密碼安全地在數據庫中存儲1個密碼安全地存儲數據

相關標簽