サードパーティの資格情報を保存する良い方法を考えています。これは基本的に、コードまたはデータのどこかに秘密が必要であることを意味します。私はGoogle App Engineにデプロイしています。
「秘密」が次のようなものだった場合
pw_passphrase = sha2(username + 'global-password')
pw_plaintext = aes_decrypt(pw_passphrase, pw_ciphertext)
このコードが appengine 以外の管理者に見られないように頼ることはできますか?
...資格情報が個人の財務データのような超機密情報を保護している場合、私たちはそれを信頼できますか?
(sha2 ビットは、他の秘密の疑似乱数関数と交換可能です。)