私は、Paypal、Facebook 開発者の資格情報など、サードパーティ アプリケーションのユーザー資格情報を保存する必要があるいくつかのプロジェクトに取り組んでいます。ASP.NET、WPF、 jQuery、およびすべてには、独自のシークレットを使用して前述のサービスにアクセスする方法に関する優れた例があり、それらはすべて、「実際のプロジェクトでは、これらを暗号化されたファイルに保存する」という正確なフレーズを使用しています。ただし、どのように行うかの例はありません。
私は暗号化の経験がほとんどありません (読み取り: なし) が、私の理解に基づくと、何らかのキー (salt?) を使用してユーザー名とパスワードを暗号化し、ファイルに保存する必要があります。また、アプリでこれらの資格情報を使用できるようにしたいので、コードにキー (salt?) を保存する必要があります。
ここで私の質問は次のとおりです。実際の資格情報よりも、まだプレーンテキストである復号化キーをプログラムコードに保存する方が安全ですか?
悪意のあるユーザーは、キーを取得するとすぐにパスワード ファイルを解読できないのでしょうか?
--編集--
ユーザーの資格情報ではなく、サードパーティのアプリケーションにログインするために保存する必要がある自分の資格情報を意味します。たとえば、ユーザーが自分の Google アカウントを使用して自分のアプリにログインできるように、自分自身や自分のアプリを Google に対して識別する必要があります。
--EDIT 2-- 明確にするために、これが私が話していることです。このスクリーンショットは asp.net の PayPal チュートリアルからのもの
です。
1121 次