背景:我正在开发一个应用程序(用于学校项目),它将基本上成为一个网络资产管理和修复工具。它将扫描网络上的设备,收集有关它们的信息,并做一些其他与问题无关的事情。它将具有的一个功能是允许用户为各种网络设备提供登录凭据,以便应用程序可以登录到这些设备,以便它可以收集更多信息,然后允许进行更改。
我的问题是:我如何才能安全地存储这些提供的凭据。目前,后端将由一个PostgreSQL数据库(其中将包含扫描数据)组成,但我不确定是否可以安全地将它们存储在那里,或者我应该如何处理安全地存储它们以便日后使用的问题。
注:如果你需要任何额外的信息,请告诉我,我是新使用堆栈溢出的,所以我不确定我是否提供了足够的细节。谢谢您。
最佳答案
https://www.postgresql.org/docs/current/static/pgcrypto.html
文档是非常具体的例子。每个数据库创建一次扩展:
t=# create extension pgcrypto;
CREATE EXTENSION
假设密码是
Ирландия
,然后使用随机盐:t=# select crypt('Ирландия', gen_salt('md5'));
crypt
------------------------------------
$1$gMymr.0W$axxTHvfmsNRDkepNAMNsT1
(1 row)
或:
t=# select crypt('Ирландия', gen_salt('md5'));
crypt
------------------------------------
$1$wjJDa4Np$M7XqQIrgnfpAf.CLtrpkv1
(1 row)
每次都会有不同的结果,所以要检查密码是否正确,例如:
t=# select crypt('Ирландия', '$1$gMymr.0W$axxTHvfmsNRDkepNAMNsT1') = '$1$gMymr.0W$axxTHvfmsNRDkepNAMNsT1' as match;
match
-------
t
(1 row)
错了:
t=# select crypt('ИрландияNOT', '$1$gMymr.0W$axxTHvfmsNRDkepNAMNsT1') = '$1$gMymr.0W$axxTHvfmsNRDkepNAMNsT1' as match;
match
-------
f
(1 row)
上述函数的参数见F.26.2节。密码哈希函数
关于postgresql - 如何安全地存储各种凭证?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/49416257/