在我们的应用程序中,我需要让用户为第三方系统输入登录,apikey等凭证,因此我们的应用程序可以使用凭证对该系统进行API调用。第三方系统使用带登录名/密码的SOAP,或者使用带有APIKey的Oauth来生成令牌等。
存储用户敏感凭证数据的最佳做法是什么?
目前我在不同服务器中有两个数据库,一个用于存储每个客户端的唯一salt值,另一个用于存储加密数据的数据库,Rijndael Encryption是用salt值计算的。每次我想对第三方系统进行API调用时,我都会将数据库和解密数据中的数据检索到要使用的凭据中。
从我所听到的,这不是一个好习惯,密码应该是哈希加密的。但是,如果我对凭证进行哈希处理,则信息会丢失,我无法恢复它以便调用第三方系统。