我正在编写一个允许任何人注册(使用他们的OpenID)的Web应用程序。当用户注册时,他们的OpenID将保存在MySQL数据库中。
我的问题是:我应该以哪种格式存储用户的OpenID值?
如果有人要访问我的数据库(我正在计划最糟糕的情况) - 用户的OpenID是否可以未加密查看?我应该在进入存储时对其进行加密吗?
答案 0 :(得分:10)
保护他们的公开身份没有任何实际好处:这就是它的全部意义!
建立OpenID,以便在您使用它的中间站点上无法使用“安全信息” - 唯一的安全信息保存在OpenID提供商(您实际输入密码的站点)。
您网站上的受感染数据库意味着攻击者会知道您的用户是谁,但仅此而已。
答案 1 :(得分:0)
这是个人品味之一,但MySQL确实提供了一些您可能希望看到的加密功能。
http://dev.mysql.com/doc/refman/5.1/en/encryption-functions.html
答案 2 :(得分:0)
In which format should I be storing a user's OpenID value?
即使有人可以访问存储在您数据库中的openid,这些信息对他也没用,因为它只是一个在执行时要求用户身份验证详细信息的URL。
所以你不必担心。
如果输入的详细信息是正确的,openid提供商将负责处理。