我正在创建一个 Web 应用程序,它将在 Youtube 上使用 OpenID 登录和 OAuth 令牌。我目前正在数据库中以纯文本形式存储 OpenID 身份和 OAuth 令牌/令牌秘密。
将这些值存储为纯文本是否不合适?我可以对 OpenID 标识符使用单向加密,但我不知道这是否有必要。对于 OAuth 令牌,我需要使用双向加密,因为我的应用依赖于获取会话令牌以用于某些用途。
是否需要加密 OpenID 身份?有人可以使用它来访问用户的帐户吗?
【问题讨论】:
标签: database security encryption openid oauth
首先,有一个注册的应用程序有consumer_key 和consumer_secret。
当用户验证并“允许”您注册的应用程序时,您会返回:
access_token 被视为用户的“密码”,并允许您的应用程序代表用户执行操作。
因此,如果用户没有consumer_key 和consumer_secret 的完全访问权限,那么仅从您的数据库中获取用户的access_token 将无济于事。
服务提供商根据请求比较所有 4 个参数。在存储之前加密这4个参数并在响应之前对其进行解密是很聪明的。
这只是当您需要代表用户更新或更改用户的资源所有者时。要让用户在您的网站上保持登录状态,请使用会话。
【讨论】:
OAuth Token 和 Secret 显然都应该安全地保存在您的数据库中,但是您不能像使用密码一样使用单向加密来存储它们。原因是您需要令牌和密码才能签署请求。
如果您正在运行 OAuth 服务器,情况也是如此,您仍然需要原始令牌/密码来验证请求。
如果您愿意,您仍然可以使用 AES 等 2 路加密算法对其进行加密,以提供安全性,以防您的数据库或数据库备份受到威胁。
【讨论】:
这里有两种思想流派。
第一个论点是:您应该将 OAuth 令牌视为密码。如果有人要访问您的数据库、获取所有 OpenID/OAuth 对并运行中间人攻击,他们就可以冒充您网站上的任何用户。
第二个论点是这样的:当有人可以访问您的数据库并充分访问您的网络以运行中间人攻击时,您无论如何都会被淹没。
我个人会谨慎行事,只是加密它们;这是密码的标准做法,因此您不妨让自己稍微安心一点。
同时,Google 有以下建议:
“应像对待存储在服务器上的任何其他敏感信息一样安全地对待令牌。”
来源:http://code.google.com/apis/accounts/docs/OAuth.html
网上一些随机的家伙有具体的实施建议:
【讨论】:
OpenID URL 不应该被加密,因为这是你的“open id”字面意思,每个人都应该知道这个值。此外,URL 需要是数据库中的索引,并且对数据库中的索引进行加密总是有问题的。
OAuth 令牌/机密应该是机密的,如果您必须长期存储令牌,加密可能会提高安全性。在我们的 OAuth 消费者应用程序中,令牌/秘密仅在会话中存储一小段时间,我们选择不加密它们。我认为这已经足够安全了。如果有人可以窥探我们的会话存储,他们可能也拥有我们的加密密钥。
【讨论】:
是的,这些应该在数据库中静止时进行对称加密(例如,CBC 模式下的 AES-256)。加密这些令牌的一种简单方法是使用SecureDB 的加密即服务 RESTful API。
披露:我在 SecureDB 工作。
【讨论】: