【发布时间】:2013-02-23 14:03:04
【问题描述】:
假设我正在编写一个程序或应用程序,要求我代表他们对用户进行身份验证,即要求用户提供他们的凭据以登录网站或检索和处理数据。
我怎样才能以保证用户安全的方式做这样的事情,最好是我什至看不到他们提供的凭据。如果这是不可能的,如何确保用户的隐私和安全不会受到任何损害。
【问题讨论】:
【发布时间】:2013-02-23 14:03:04
【问题描述】:
最简单但可能对您没有用的答案是:
您不能保证隐私和安全不会受到损害!作为服务器上的管理员,如果您接收并存储用户凭据,您就可以访问它们。
Immutable Law #6 of Security: A computer is only as secure as the administrator is trustworthy
因此,请考虑一下您会接受的适当安全级别。
您可以使用 OpenID 之类的东西,就像 StackExchange 使用的一样 - 它从他们的职责中删除了身份验证部分。只有 OpenID 提供者接收凭据 - SE 只是从他们那里获取令牌。
【讨论】: