我有一个现有的NodeJS应用程序,允许用户将个人信息存储在mongo数据库中。此数据必须以某种形式加密,或至少不与特定用户绑定。
我计划使用NPM mongoose-encryption package,但它不适用于更新字段。现在,密码用盐进行哈希处理,并且都存储在用户文档中。我在想另一种选择可能是哈希用户ID并使用它来将其他文档与用户相关联。这样,如果存在安全漏洞,则数据将无法使用,而无需知道它属于哪个用户。
对此有何想法/建议?保护用户个人身份信息的最佳方法是什么?
答案 0 :(得分:0)
散列用户ID或用户名可能不太好,用户登录也可以。但是当你尝试对存储的数据进行一些聚合或统计时,它可能会带来更多的痛苦,每次你进行与用户id相关的查询时,你可能需要首先对它进行哈希,然后构造查询。
此外,用户id / username列变得不可移动,并且很难在其上构建索引,因为散列不可逆。
仅仅是我个人的想法。