我正在进行Google App Engine开发,我正在为用户签名。我收集注册信息,做一些初步验证以确保事情的长度/格式正确,然后将该信息发送到App Engine进行服务器端验证并最终注册和登录。我知道我可以认为App Engine非常安全(无论如何都是谷歌)而我的客户端是Cordova应用程序,它也是安全的,因为它包含在一个应用程序包中。交互唯一不安全的部分是我发送的包含密码的HTTP POST请求。我认为只有一个选项可以让它更安全。我可能是对的,我可能是错的。老实说,我不知道。
我认为我可以在本地加密密码,并在它到达应用引擎后解密。这个问题是监视我的请求的任何人都可以读取这个解密的值,他们甚至不需要解密它。他们可以按原样加密发送。我可以通过使加密依赖于只有app引擎知道的其他变量来调整这个,但我不确定这是否也是一个好方法。
我几乎不了解网络安全,也很少了解加密技术。使用Google App Engine发送和存储密码的最佳方式是什么?
答案 0 :(得分:4)
不要重新发明轮子(正如评论中已经提到的那样)只使用SSL。
它适用于*.appspot.com个域名(example),但如果您想为custom domain启用它,则需要查看文档。
答案 1 :(得分:2)
通过HTTPS发送 - App Engine免费提供SSL - 使用它!然后在服务器加密存储。切勿以纯文本格式保存密码。如果您使用的是Python,请查看webapp auth api,它会为您处理所有事情 - > https://webapp-improved.appspot.com/api/webapp2_extras/auth.html