假设我正在编写一个程序或应用程序,要求我代表他们对用户进行身份验证,即要求用户提供登录网站的凭据或检索和处理数据的内容。
我如何以保证用户安全的方式做这样的事情,最好是我甚至看不到他们提供的凭据。如果无法做到这一点,用户如何能够确保他们的隐私和安全不会受到任何影响。
答案 0 :(得分:0)
最简单的答案,但可能对你没用:
您不能保证隐私和安全不会受到损害!作为服务器上的管理员,如果您收到并存储用户凭据,则可以访问它们。
Immutable Law #6 of Security: A computer is only as secure as the administrator is trustworthy
因此,请考虑适当的安全级别。
你可以使用类似OpenID的东西,比如StackExchange使用它 - 它会从他们的责任中删除身份验证。只有OpenID提供商才能收到凭据 - SE只会从中获取一个令牌。