密碼管理系統的最佳實踐

Question

我正在研究一個密碼管理系統，它存儲了一堆服務（gmail，美國銀行賬戶，youtube等）的密碼。用戶將能夠通過登錄到我的應用程序來啓動這些服務。然後，應用程序會將與該服務相關的用戶名和密碼發佈到新標籤中的該服務的登錄網址，並且您將立即登錄。我的問題是，此方法將用戶的實際密碼暴露給客戶端（因爲我用純文本創建一個帶有用戶名和密碼的表單，作爲隱藏字段並調用form.submit）。我想知道有沒有其他方法可以實現這一點？所有密碼管理網站如何工作？感謝您的幫助。

Answer 1

做到服務器端，我還能說什麼？無論如何，我只能將此視爲一種學習體驗，而不是最終會投入生產的東西。 cUrl可能是一個好的開始。爲什麼你使用form.submit呢？

Answer 2

如果您正在考慮訪問網關（http），則在訪問管理術語中稱爲「formfill」。如果您正在考慮瀏覽器插件，請查看Firefox自動填充插件。並最終減少到單一登錄。 單點登錄完成不同的方式 -

1. 一些服務器使用Active Directory來存儲所有的密碼，並使用主密碼進行訪問後，即該用戶的Active Directory密碼才能訪問他的憑據。
2. 一些使用SAML
3. 一些使用電子目錄

無論你使用，如果是服務器端應用程序（如Appache formfill支持），它解析基於表單名稱或資源路徑的各種形式並基於來自用戶的經認證的會話填充憑證。