我有一个应用程序,它从用户那里获取 csv,将其转换为 json 并将 json 文件保存在 AWS 上的 S3 存储桶中。然后我使用 oracle 的 Restful 服务将该数据推送到 oracle jde。
未经事先“批准”,用户无法上传文件 - 目前是手动流程,但需要先将他们的电子邮件添加到 S3 存储桶 Web 应用程序检查 S3 中是否存在电子邮件,然后允许文件上传,如果不存在则拒绝文件上传。
我目前没有设置任何其他“用户身份验证”。
接下来,为了从外部 API 获取 token ,我需要向其提供服务帐户用户名和密码,目前,由于它仍在开发中,我将用户名和密码保存在服务器端 NodeJS 的一个对象中我将其传递到 api 调用中以获取 token 。
目前我们不打算让用户登录,因此我怎样才能保护用户名和密码,但仍然能够获得“允许上传的经过身份验证的电子邮件”的 token ?
基本上,我认为将其保存在变量服务器端 Node 中并不是一个好主意,因此寻找另一种方式将其存储在某处并且仍然能够调用 api。
最佳答案
For the time being we don't plan on having user login, so that being said how can I secure the username and password but still be able to get a token for "authenticated emails allowed to upload"?
你不能。除非我误解了什么,否则这些不是“经过身份验证的电子邮件”,而是“预先批准的电子邮件地址”。您仍然需要对用户进行身份验证以帮助保护应用程序的安全。
So do I still hash and salt the hardcoded username and password and save to db?
您无法对密码进行加盐和哈希处理,因为您打算重复使用原始密码。这让您有责任保护密码。不要玩那个游戏。许多人对许多不同的帐户重复使用相同的密码。您是否希望向您的用户发送电子邮件,让他们知道您存在安全漏洞,并且他们需要重置所有密码?
关于javascript - Restful服务需要用户名和密码才能获取 token ,是否可以将凭据(用户和通行证)保存在服务器端nodejs中?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54660049/