我需要加密访问密钥吗?
我需要加密访问密钥吗?
提问于 2015-10-24 17:21:25
我正在创建一个移动REST API。
目前,当用户使用电子邮件和密码登录时,我生成秘密会话密钥(64个字符长度),将其存储在数据库中并将其发送给用户,以便用户在注销之前不需要再次登录以进行将来的请求。
对于下一个请求,我只检查提供的会话密钥是否等于数据库中的密钥。
但是,我在这个方案中看到了一个很大的安全漏洞。如果攻击者获得了数据库的访问权限,他们就可以使用密钥冒充任何人,而根本不知道密码。在这种情况下,除了模糊用户的真实密码之外,加密密码的意义是什么-它不会阻止任何其他事情。
因此,我的问题是如何正确存储这些访问密钥?
Twitter将在登录时在其API上发送会话密钥。那么,他们如何存储这些密钥呢?
谢谢。
回答 1
Stack Overflow用户
发布于 2015-10-24 20:01:45
更好的做法是对会话密钥进行散列处理( hash ),就像它是一个密码一样,并将散列值存储在数据库中。
与password hashing的唯一区别是,由于您的会话密钥(至少我希望)是由secure random number generator生成的,并且长度足够长,无法通过暴力破解(我建议至少使用128位随机性),因此您:
- 不需要单独的salt,
- 可以使用像SHA-256这样的简单cryptographic hash function,而不是像PBKDF2这样故意减速的密码散列方案。
不使用salt还允许您使用(散列的)会话密钥在数据库中查找会话记录,因此不需要单独的会话ID。
所以,总结一下:
- 启动新会话时,使用安全RNG生成会话密钥,将会话密钥的SHA-256散列存储在数据库中,并将(未散列的)会话密钥发送给客户端。
- 当客户端发出请求时,使用SHA-256散列客户端发送的会话密钥,并在数据库中查找相应的记录。
您可能还希望限制会话密钥的生存期,并为客户端提供某种机制以显式地使用户的所有会话无效,以减轻单个会话密钥泄露的影响。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/33316534
复制相关文章
相似问题
腾讯云开发者
