我正在开发一个内部使用的Web应用程序,该应用程序由许多Web服务请求驱动到另一个远程服务器。内部站点维护自己的会话,通过用户/密码凭证进行身份验证,这些凭据本身由Web服务支持(即,我们进行远程身份验证调用以验证对内部站点的登录)。 Web服务请求还需要使用这些相同的凭据进行身份验证。
我们希望这些Web服务请求可以保持无状态,这意味着在每次身份验证请求时都会传入凭据。问题是以安全的方式记住要使用的凭证(在初始登录期间输入的凭证)。我不知道任何真正安全的方法来存储密码以供以后重复使用 - 散列它会牺牲我们再次使用它的能力。我们能做的最好的事情就是在会话范围内对其进行编码,并希望没有恶意的开发人员会尝试在线程转储中捕获它。
我缺少一个更好的解决方案吗?我是否对在内存中存储编码密码的风险过于偏执,或者我们对这个项目的处理方式存在缺陷?