我正在寻找一种安全加密源代码中使用的任何凭据的方法,例如:用于连接第三方API的凭据
我有关于加密字符串或文件的问题......
采取以下GitHub项目:https://github.com/2Toad/Rijndael256/blob/master/README.md
我理解加密/解密方法,但令我困惑的部分是使用硬编码加密的密码,当然,如果有人获得了对源代码的访问权限,他们无论如何都可以解密它。
您如何确保用于加密的密码也是安全的?
答案 0 :(得分:1)
当然,通常从用户检索密码。计算机对密码没有任何用处;相反,它可以简单地直接记住一个键;然而,人们在记住128位(32个十六进制字符)或更多时非常糟糕。
计算机有很多方法可以检索密钥;有密钥协议,有密钥存储,密钥包装,密钥派生,硬件存储等。密钥的整个处理是书籍的主题,称为密钥管理。
有时在代码/运行时内存中使用密钥是有意义的。如果运行时不太容易访问,那么它可以提供少量保护。配置文件也是如此,尽管两者通常都是可由用户阅读的。