如果我只有一个用户可以手动更改代码，我可以对密码进行硬编码吗？

Question

我试图找出人们是否曾经为那些真正拥有超过1个用户但尚未找到任何用户的网络应用程序的密码进行硬编码。

然而，这种假设情况可能是真实的：“使用SSL的应用程序，有一个用户可以随时更改代码，并随时部署”

如果开发人员有能力更改代码并随意部署，是否需要： 1.加密密码，和 2.将该密码（或其哈希）存储在某个DBMS中。 ？

感谢。

Answer 1

通常硬编码密码是一个坏主意，但它确实取决于你正在做什么。如果你正在构建一些完全供自己使用的东西，它只被部署到你的本地机器上，并且已经从世界其他地方防火墙，那么 将是一个合理的时间，无需进行适当的身份验证。否则你可能想做正确的事。

要考虑的一些事情：

1. 谁有权访问该来源？如果开发人员以外的任何人都可以看到源代码，那么硬编码密码将是一件坏事。
2. 未经授权的用户可能造成多大的伤害？如果它们可能造成大量损害，则不要对密码进行硬编码。
3. Web应用程序是否仅在一台计算机上可用？这可能会减轻一些安全问题。
4. 您的单个​​用户是否可以部署新代码？如果是这样，您可能不会打扰身份验证，因为该用户只能部署不检查密码的代码。

通常很容易进行正确的密码验证。几乎每个Web开发框架都包含对良好密码存储的支持（例如bcrypt），那么为什么不利用它呢？