存储帐户/密码
问题描述:
我正在研究一个基于Web的应用程序,它需要存储用户名和密码。帐户信息将需要代表用户进行二次认证,所以我不能简单地存储用户名和密码使用单向哈希盐等存储帐户/密码
假设我的基本要求不能改变,任何建议如何处理这些帐户的存储?使用机器密钥进行对称加密?在web.config中使用随机密钥?使用基于SQL的加密?
答
这里最好的做法是不问这个信息,直到你把它传递给外部供应商的那一刻起MSDN page。然后只保留外部提供者的身份验证令牌,这样您只需要在外部资源需要它们的地方再次请求凭据,如果用户直接访问它的话。
@安德鲁鲁宾逊,你不会推出自己的。使用MembershipProviders。 – mmcdole 2009-04-20 17:41:26