0
因爲如果一些不好的員工偷了它,他可以冒充任何用戶。
如果它不應該硬編碼,sholud它被放在哪裏?
我正在考慮實施JWT身份驗證。HMAC祕密密鑰是否應該不進行硬編碼?
A
回答
0
HMAC密鑰是純文本。作爲任何私人/祕密文本,您應該避免將文本(硬編碼)存儲爲簡單/純文本字符串,因爲它可以使用反彙編來顯示。
所以是的,以某種方式混淆密鑰,至少進行簡單的文本轉換是件好事。一般而言,您可以選擇任何類型的轉換。
其中一種方法是使用編碼/解碼進行轉換:您的密鑰作爲編碼字符串存儲在源中,並在需要時在運行時解碼。例如,您可以使用Google建議的XOR加密:
static String stringTransform(String s, int i) {
char[] chars = s.toCharArray();
for(int j = 0; j<chars.length; j++)
chars[j] = (char)(chars[j]^i);
return String.valueOf(chars);
}
該函數應該用於加密和解密,「i」是任意的隨機值。
相關問題
- 1. 'NSUnknownKeyException'setValue:forUndefinedKey:該類不是密鑰值編碼兼容密鑰XXX'。
- 2. 如何在我的.net源代碼中對我的accesskey和祕密訪問密鑰進行硬編碼?
- 3. 我應該讓我的地理編碼API密鑰成爲一個祕密嗎?
- 4. 爲HMAC-SHA1生成消費者密鑰/祕密
- 5. 我是否應該在我的iOS或Android應用程序中硬編碼存儲加密密鑰
- 6. 當通過SSO進行身份驗證時,祕密密鑰或私鑰密鑰是否安全?
- 7. 密鑰保管庫密鑰與祕密
- 8. Java祕密編碼
- 9. Angular CLI - 祕密密鑰加密密鑰:jwt-simple不起作用
- 10. 密鑰庫密碼是否應與PKCS12證書密碼相同?
- 11. 使用一個密鑰進行加密和HMAC
- 12. Django Tastypie祕密密鑰
- 13. OAuth 2.0 - 客戶端密鑰是否必須是「祕密」?
- 14. 我應該加密我的Dropbox應用程序密鑰/祕密嗎?
- 15. GPG密碼+祕密密鑰綁定加密
- 16. [<__ NSCFString 0x7f8392695300> valueForUndefinedKey:]:該類不是密鑰名稱的密鑰值編碼。
- 17. 該類不是密鑰值編碼兼容的密鑰XXX - 類正確確認?
- 18. 錯誤:該實體不是密鑰編碼兼容密鑰 - 核心數據
- 19. phpMyAdmin:祕密密碼?
- 20. Pubnub C++是否支持密碼密鑰?
- 21. 加密 - 祕密密鑰拆分部分
- 22. iOS6崩潰:此類不是密鑰編碼兼容密鑰
- 23. 實體xxx不是密鑰值編碼兼容密鑰「(空)」
- 24. NSManageObjectContext - 類不是密鑰編碼兼容密鑰@count
- 25. 此課程不是密鑰編碼密鑰UILabel
- 26. NSUnknownKeyException這個類不是密鑰編碼兼容的密鑰
- 27. 這個類不是密鑰編碼兼容密鑰setOutput
- 28. MPMediaItem這個類不是密鑰編碼兼容密鑰
- 29. 實體Shop不是密鑰值編碼兼容密鑰「category.name」
- 30. HMAC算法的密鑰