restful service需要用户名和密码来获取令牌,是否可以在服务器端nodejs中保存凭据(用户和通行证)?
我有一个应用程序从用户获取csv,将其转换为json并将json文件保存在AWS上的S3存储桶中。然后我使用oracle的restful服务将数据推送到oracle jde。
用户无法在未经“批准”的情况下上传文件 - 现在是手动过程,但他们的电子邮件需要先添加到S3存储桶中.Web应用程序会检查S3中是否存在电子邮件,然后允许文件上传发生,如果它不存在则拒绝文件上传。
我暂时没有设置任何其他“用户身份验证”。
接下来,为了从外部API获取令牌,我需要提供一个服务帐户用户名和密码,目前,因为它仍在开发中我保留我的服务器端nodejs上的用户名和密码进入api调用获取令牌。
目前我们还没有计划用户登录,所以说如何保护用户名和密码,但仍然可以获得“允许上传的经过身份验证的电子邮件”的令牌?
基本上,我假设只是将它保存在可变服务器端节点不是一个好主意,所以寻找另一种方式将它存储在某个地方,并仍然能够调用api。
回答如下:目前我们还没有计划用户登录,所以说如何保护用户名和密码,但仍然可以获得“允许上传的经过身份验证的电子邮件”的令牌?
你不能。除非我误解了某些内容,否则这些内容不是“经过身份验证的电子邮件”,而是“预先批准的电子邮件地址”。您仍需要对用户进行身份验证,以帮助保护应用安全。
那么我仍然将硬编码的用户名和密码哈希并加盐并保存到数据库吗?
您不能对密码进行加密和哈希,因为您打算重用原始密码。这使你有责任保护密码。不玩那个游戏。许多人为许多不同的帐户重复使用相同的密码。您是否希望向用户发送电子邮件,告知他们您有安全漏洞并且需要重置所有密码?