2

私のアプリケーションでは、認証を必要とするWebサービスを繰り返し呼び出す必要があります。ユーザーは、認証情報(ユーザー名とパスワード)を繰り返し入力することを望んでいません。

少なくともアプリケーションが実行しているセッションの長さの間、パスワードを安全に保存する方法はありますか?ユーザーはデータを1回だけ入力する必要がありますか?

現時点では、パスワードをメモリに保持し、入力後に暗号化して、サービスコールに使用するときに復号化します。しかし、私はそれに対していくぶん不快に感じます。これは、その種のデータを処理するための推奨される方法ですか?

複数のセッションで使用するためにデータベースにパスワードを保存するのはどうですか?それを処理するための推奨される方法はありますか?bcryptとpbkdf2について聞いた。ただし、これらはハッシュ目的であり、入力されたパスワードを比較するためのものであり、「復号化された」パスワードを再度使用するためのものではありません。

または、keepass(または使用できるものなら何でも)のような外部パスワードキャッシュを使用する方が良いアプローチでしょうか。

4

1 に答える 1

2

メモリ内ストレージには、SecureStringを内部で使用するSecureStringクラスまたはNetworkCredentialsを使用します。

永続ストレージの場合は、DataProtectionAPIを使用してパスワードを暗号化します。このコンピューターの現在のWindowsユーザーのみがアクセスできるキーで暗号化します。

于 2013-03-26T14:50:02.873 に答える