Q

使用加密的令牌吗？基于令牌

2016-01-22 79 views 1 likes

1

对于API认证：什么是明智的做法：使用加密的令牌吗？基于令牌

在保存加密或不加密的dabase令牌？
对于身份验证：找到基于令牌的用户（仅当令牌被存储在数据库中未加密）或基于例如用户的电子邮件地址？

我发现了几个似乎存储未加密标记的源，然后在身份验证中根据API请求收到的标记找到用户。这似乎有点不安全给我，从那以后后端对搜索请求中包含令牌的基础上，整个User表，而不管是哪个用户具有令牌（所以有人可能只是尝试了许多标记）。同时我不知道是否有必要加密令牌。

2016-01-22 Nick

A

回答

1

我把它当作一个密码 - 加密。

然后，当用户连接时，请查找指定的用户，您加密提供令牌和该用户的结果进行比较。

主要原因是，当你被黑客入侵时，你不必在恢复时立即重置每个人的受损标记，你应该有更多的时间..因为黑客无法访问他们的标记。如果你的令牌被腌了，可能永远不会。

不，我主张不进行重置令牌！就在这一刻，这是一个不那么直接的问题。

2016-01-22 15:33:31 Tim

相关问题

1. 基于令牌
2. 加密Devise令牌
3. Hudson基于URL令牌
4. 填充基于令牌
5. 加密令牌在PHP
6. 保护基于令牌的身份验证系统的令牌
7. Rails秘密令牌
8. 使用令牌
9. 用apache cxf加密用户名令牌
10. ：'{'令牌''''，'，';'，'asm'或'__attribute__''{'令牌
11. 格纹访问令牌是秘密吗？
12. 用于webservices的SAML令牌
13. 基于令牌的认证6
14. 基于令牌的wcf限制
15. 基于IP的Django令牌授权
16. 基于令牌的认证与角
17. Spring STOMP基于令牌的安全性
18. 基于令牌的Web服务安全
19. 基于令牌的文件处理
20. 基于Cognito令牌的AWS节流
21. 基于令牌的Node/Express验证
22. 通过加密令牌的SSO
23. JTwitter访问令牌和访问令牌的秘密
24. Bison Flex令牌用于读取每个未定义的令牌
25. 为基于令牌的webservice启用CORS安全吗？
26. 使用密钥表验证kerberos令牌
27. 解密/验证Firebase令牌
28. Jenkins解密API令牌
29. 如何解密SAML令牌
30. laravel 5.4令牌基于Oauth实现