如何安全地存储用户的OpenID

时间:2010-01-31 12:39:14

标签: security openid

我正在编写一个允许任何人注册(使用他们的OpenID)的Web应用程序。当用户注册时,他们的OpenID将保存在MySQL数据库中。

我的问题是:我应该以哪种格式存储用户的OpenID值?

如果有人要访问我的数据库(我正在计划最糟糕的情况) - 用户的OpenID是否可以未加密查看?我应该在进入存储时对其进行加密吗?

3 个答案:

答案 0 :(得分:10)

保护他们的公开身份没有任何实际好处:这就是它的全部意义!

建立OpenID,以便在您使用它的中间站点上无法使用“安全信息” - 唯一的安全信息保存在OpenID提供商(您实际输入密码的站点)。

您网站上的受感染数据库意味着攻击者会知道您的用户是谁,但仅此而已。

答案 1 :(得分:0)

这是个人品味之一,但MySQL确实提供了一些您可能希望看到的加密功能。

http://dev.mysql.com/doc/refman/5.1/en/encryption-functions.html

答案 2 :(得分:0)

In which format should I be storing a user's OpenID value?

即使有人可以访问存储在您数据库中的openid,这些信息对他也没用,因为它只是一个在执行时要求用户身份验证详细信息的URL。

所以你不必担心。

如果输入的详细信息是正确的,openid提供商将负责处理。