我将OpenID存储到数据库中,因此我可以非常快速地登录用户。我应该在我的数据库中对它们进行加密吗?
另一个问题是,它们被视为“敏感”信息吗?
答案 0 :(得分:9)
与另一个答案相反:否。这样做没有意义。
要访问帐户,必须先使用OP进行身份验证。没有方法可以通过简单地知道一个标识符(而且仅仅是那个)来以某种方式闯入某人的帐户。
OpenID协议按设计允许用户将标识符放置在非常明显的位置(如主页),几乎没有其他风险。如果标识符是“敏感”信息,则无法委派OpenID。
如果您的数据库遭到入侵这一事实意味着攻击者可以访问所有身份,那么OpenID真的会非常不安全(而且不是)。
OpenID标识符只是指向提供者的URL。根据这些信息,您无法推断出比用户声称的更多的内容(如果是有针对性的身份,甚至不是。)
您可以问自己:“我应该加密登录吗?” 如果您的答案是真的 - 加密标识符,因为它们没有区别。 如果它是假的,那就不要打扰了。