标签: security oauth-2.0
对于我的应用程序,我需要将OAuth2刷新令牌存储在数据库中。由于我认为将它们存储为纯文本不是一个好主意,因此我想在将它们存储到数据库之前对其进行加密。为此,我需要将密钥存储在我的应用程序或运行该应用程序的服务器上。 (数据库位于其他服务器上)
有没有一种方法可以更安全地执行此操作?
我想到的一种方法是每24小时旋转一次钥匙。但这仅在攻击者无法同时访问两个服务器的情况下才有帮助。