現在、django アプリケーションを開発しています。
ユーザーデータを保存する必要があります。このデータは、他のユーザーまたは管理者が利用できないようにする必要があります
専用のユーザー アカウント システムを作成しました (dj auth を使用しません)。(多分私はそれを変更することができますが、これはここでは主題ではありません..)
ユーザーのパスワードは passlib でハッシュされます。
ユーザーデータは、AES とユーザーパスワード (ハッシュ化されていない:p) を秘密鍵として使用して暗号化されます。
不思議なんだけど :
- 暗号化がこのパスワードを秘密鍵として使用した場合、ハッシュされたパスワードと暗号化されたデータを保持しても安全ですか?
- ユーザーデータの暗号化に使用される AES IV で何ができますか? ユーザーを作成するときにそれを生成し、ハッシュされたパスワードの横にあるユーザーテーブルに保持しますか?