私のアプリケーションの 1 つで、ユーザー資格情報とトークンを保存します。認証情報はサードパーティ サービスで直接使用されるため、ハッシュ化できないため、そのまま保存する必要があります。
私は暗号化の専門家ではないので、Google で検索したところ、AES 256 ビット キー サイズがそのようなデータの暗号化に適していることがわかりました。
最終決定を下す前に、SO コミュニティの意見を知りたいです。
ありがとう!
編集:議論してくれてありがとう、私は今のところ暗号化メカニズムとして AES256 を使用して進んでいます。これは良い選択のようです.
毎回ユーザーに資格情報を要求する場合、なぜそれらをデータベースに保存する必要があるのですか? メモリに保持し、外部システムに渡すだけです。ユーザーに一度尋ねて、セッション全体でパスワードをメモリに保持することもできます。何らかの理由でデータベースに保存する必要がある場合は、もちろん暗号化します。私の知る限り、現在の標準は AES256 です。それでも、暗号化されていない鍵をどこかに保管する必要があります。要約すると、ユーザーを認証し、セッション中のみパスワードを使用する場合は、データベースに保存する必要はありません。認証目的でソルトハッシュを保持し、外部システムのセッションでユーザーが提供したパスワードを保持します
ところで。あなたのスワップは暗号化されていますか?