如何在设计中禁用加密密码?
答案 0 :(得分:17)
免责声明:尽管存储未加密的密码通常并不明智,但可能存在开发人员希望这样做的情况。希望开发人员尽职尽责,确保在为他们的应用程序做出这个通常很差的安全决策时,他们不会危及个人和/或识别用户的信息。您可以想象一下,应用程序的唯一记录信息是用户与系统的交互,就像在某种用户交互研究中一样。
tl; dr One可以通过creating a custom encryptor禁用加密设计 并让它直接返回密码。
答案 1 :(得分:3)
我同意Shingara。你永远不应该以可恢复的设计存储密码哈希(未加密)的方式存储人们的密码,它们都是不可读的格式,但区别在于你不能反转哈希。
如果您想知道原因,那么如果您的网站或数据库遭到入侵,黑客将无法窃取您的用户密码(用户有使用几乎每个网站都有相同的密码)。你不想因为没有哈希密码而看起来很傻,而且你没有任何借口,因为它是为你设计免费提供的。
您唯一能够使用密码的方法是授权用户,这仍然可以使用哈希密码来完成。你永远不需要告诉用户他们忘记了密码,而是将密码重置为新的密码(设计也支持这个)。