8
我想知道從Web表單發送密碼並將它們存儲在數據存儲中的最新技術。App Engine:傳輸密碼並將其安全地存儲在Google App Engine中的最佳做法是什麼?
很多最近的帖子指向bcrypt,但是,沒有純粹的Python實現,這是App Engine的一項要求。
有什麼建議嗎?
A
回答
9
最佳實踐的支持?將用戶API與Google帳戶或OpenID一起使用,因此您並不是首先存儲或傳輸密碼。
如果您必須自己做,請使用諸如PBKDF2之類的方案通過SSL傳輸登錄數據,並存儲密碼哈希,鹽漬和strengthened。
8
您可以使用已移植到google-app-engine的PyCrypto。
當然,您不應該存儲實際的密碼。存儲散列應該足夠了。當用戶輸入密碼時,再次對其進行散列並將其與存儲值進行比較。
你當然應該只接收通過HTTPS密碼,這是在谷歌應用程序內發動機(雖然only through you appspot domain)
+0
說「存儲散列應該是足夠的。」是不是一點點不好的建議?我認爲鹽至少應該添加一次,檢查這個答案(不是接受的,但最多的投票):http://stackoverflow.com/questions/1645161/salt-generation-and-open- source-software/1645190#1645190 – hectorg87 2012-07-17 10:37:07
0
BCrypt已經被移植到Python前一段時間。從那時起,我一直在優雅地使用它。
相關問題
- 1. Google App Engine - 安全Cookie
- 2. 在Google App Engine中導入模塊和模型的最佳做法是什麼?
- 3. 在Google App Engine上存儲常量數據的最佳方法
- 4. Google App Engine - 上傳文件和最佳做法
- 5. 在App Engine Blob存儲中存儲圖像的最佳方式是什麼?
- 6. Google App Engine中臨時查詢結果存儲的最佳做法
- 7. Google App Engine發送和存儲密碼的好方法
- 8. Google App Engine數據存儲區編碼?
- 9. 爲什麼「不」Google App Engine?
- 10. 如何將本地Google App Engine Python數據存儲複製到本地Google App Engine Java數據存儲?
- 11. 用Google App Engine學習Python 2.7的最佳方式是什麼?
- 12. Python:在Google App Engine中存儲數字
- 13. GAE Google App Engine的最佳前端
- 14. Google App Engine中的數據存儲
- 15. Google App Engine中的證書存儲
- 16. Google App Engine上的Spring安全openid
- 17. Google App Engine上的SSL安全網站
- 18. Google App Engine項目之間的安全
- 19. app-engine-patch已死。現在在Google App Engine上使用Django的最佳方式是什麼?
- 20. 什麼是Google App Engine的數據存儲「父鍵」?
- 21. Google App Engine和Git最佳實踐
- 22. Google App Engine在線數據存儲區
- 23. Google App Engine for Java,什麼是.Net?
- 24. 什麼是Google App Engine實例?
- 25. Google App Engine - 從App Engine Helper升級
- 26. Google App Engine:上傳前加密斑點
- 27. Restlet線程安全和Google App Engine
- 28. 上傳Google App Engine中的文件並將其下載
- 29. Google App Engine HTTP
- 30. Google App Engine - java.security.AccessControlException?
絕對。最先進的技術是讓Google,Facebook,Twitter或LinkedIn擔心他們的密碼系統的安全性,並且您只需存儲臨時令牌。我確信Gawker和索尼(PS3)在工作人員身上有許多聰明人,但並沒有阻止他們做一件被剝削的笨蛋。 – Calvin 2011-02-15 00:00:31