访问令牌是否加密

问题描述 投票:0回答:3

我们将访问令牌存储在数据库中,它是一个随机字符串,按原样存储,没有加密。

是否应该加密?是否存在安全隐患?

security authentication access-token
3个回答
2
投票

这取决于这些代币的用途。 访问令牌通常不会被存储。 它们不是随机字符串,而是根据严格要求(验证)发布并由 HMAC 和密钥签名的短期对象。 所有这些都是确保他们安全的措施。

如果它们只是随机字符串,则它们不满足任何这些措施。


1
投票

您可以在将令牌存储在数据库中时对其进行加密,以避免在发生数据库泄露时泄露它。当然,这取决于您如何保护/存储用于加密令牌的密钥。

如果您认为可以比数据库存储/访问更好地保护加密密钥,例如通过使用 HSM 或安全文件存储,那么在存储令牌之前使用这样的密钥对其进行加密是有意义的。


0
投票

访问令牌不应存储在数据库中。访问令牌的生命周期应该很短(从几分钟到一天),并使用刷新令牌进行刷新。访问令牌和刷新令牌都应尽可能靠近客户端。

© www.soinside.com 2019 - 2024. All rights reserved.