我需要在会话中经常使用密码。我正在使用由密码加密的密钥来加密我的用户数据。这就是我的问题。储存安全吗纯文本php 会话中的密码(不是 cookie,所以非客户端)?有没有更好的办法?或者我应该每次都询问我的用户密码吗?
我使用 phpseclib 用用户密码加密 rsa 的私钥。每次我想要访问密钥时都需要密码。我有两个选择:要么存储密码,要么存储密钥,我认为两者都不是很好。我无法使用密码哈希进行加密,因为哈希存储在数据库中的“明文”中......
在任何地方以任何身份保存明文密码通常是一个坏主意。会话本身是安全的,但只能与服务器环境的其他部分一样安全。管理员或其他合法和恶意用户都可以访问其中存储的数据。你永远不想处理secrets如果你能避免的话,你的客户;这也意味着您希望在任何情况下都避免看到用户的密码,并且您应该以技术上尽可能短的明文密码的方式构建代码。
如果您需要在会话期间使用密码进行某些操作,您应该构建您的应用程序,使其永远不会使用明文密码,而是使用密钥导出函数 http://en.wikipedia.org/wiki/Key_derivation_function to 从密码中获取密钥然后您可以将其用于敏感任务。这样,暴露用户密码的机会就会大大减少。请记住,用户拥有的唯一安全性是secrecy他的密码应该只有他自己知道。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
