Je commence un service pour les étudiants de mon école qui exige qu'ils me donnent leurs informations de compte utilisateur pour le système web de notre école afin que je puisse automatiser certaines tâches ennuyeuses pour eux. Je vais les connecter en utilisant CURL mais j'ai du mal à trouver comment stocker leurs mots de passe dans une méthode sécurisée. Avec la plupart des services Web, les mots de passe sont cryptés puis stockés et lors de la connexion, nous ne faisons que comparer les mots de passe cryptés. C'est très différent cependant. Puisque je vais envoyer leurs mots de passe via des requêtes HTTP, il est nécessaire que je puisse déchiffrer leurs mots de passe dans le texte original. Comment recommanderiez-vous que je vais les stocker et les récupérer?Consignation de mes utilisateurs dans d'autres services, comment stocker leurs mots de passe?
Répondre
Ce n'est peut-être pas la solution que vous recherchez, mais si vous souhaitez stocker les informations d'identification de l'utilisateur pour un service tiers, il n'existe aucun moyen de sécuriser le stockage avec un logiciel uniquement. Comme vous l'avez mentionné vous-même, votre application doit être en mesure de récupérer les informations d'identification d'origine de ce magasin, afin d'usurper l'identité de l'utilisateur. Et si votre application peut le faire, tout autre code peut s'exécuter sur cette boîte. Par conséquent, la seule vraie solution consiste à s'assurer que seul votre logiciel est en cours d'exécution sur la boîte. Cela suppose également une sécurité physique, un accès limité à la machine, un audit complet et une réduction de la surface d'attaque autant que possible, en désactivant tous les services inutiles. Sur une note séparée, si les services scolaires prennent en charge la délégation d'accès (via OAuth par exemple), vous devriez envisager d'utiliser cette route et sortir des informations d'identification stockées.