통신용 HTTP를 사용하는 브라우저가 아닌 클라이언트 - 서버 (XULRunner-CherryPy) 애플리케이션을 구축하고 있습니다. 내가 지금 생각하고있는 영역은 사용자 인증입니다. 필자는 보안에 대한 실질적인 지식이 없으므로, 무언가를 발명하거나 스스로 구축하려는 시도와 테스트를 거친 접근법과 기성 라이브러리를 사용하는 것을 선호합니다.최신 클라이언트/서버 인증 기술
나는 최근에 많은 기사를 읽었으며 내가 남긴 모든 것들이 대부분 this과 this 블로그 게시물에 기고 한 좌절감이 많다고 말할 수 있습니다. 내가 필요가 있다고 생각 무엇
은 다음과 같습니다 데이터베이스에 암호
- 보안 저장 장치 (적응 해시?) 사용자 자격 증명의
- 안전 와이어 전송 (SSL을 인증 다이제스트?)
- 보안 토큰 후속 요청에 대한 인증 (확실하지 않음)
그래서 질문은 다음과 같습니다. t를 구현하는 현대적인 (두통없는 선호) 기술 및/또는 라이브러리는 무엇입니까? 그의? 신용 카드 번호와 같은 민감한 정보는 저장되지 않습니다.
나는 OAuth를보고 있었으며 사용하기를 강력히 권장하는 새 개정판이 있습니다. 문제는 문서가 아직 개발 중이며 새로운 개정 (?)을 구현하는 라이브러리가 없다는 것입니다.
제안 해 주셔서 감사합니다. 충분한 길이의 소금을 사용하는 다중 반복 해싱처럼 보일 것입니다 (소금 값이 해시 된 암호로 저장되는 경우에도). – vit
가장 엄격한 요구 사항을 제외하고는 스토리지 시스템으로는 괜찮은 것 같습니다. 유선 네트워크를 통해 암호가 전송되는 방법, 로그인 할 때마다 사용자의 세션 식별자가 만료되는 방법, 웹 인증을 괴롭히는 기타 중요하게 고려해야 할 보안 고려 사항을주의 깊게 기억하십시오. – Clueless