security - 处理用户帐户身份验证和密码的最佳方式

标签 security database-design authentication authorization

在系统中处理用户帐户管理而不让有权访问数据库的员工访问帐户的最佳方法是什么。

示例:

将用户名/密码存储在数据库中。这是一个坏主意，因为有权访问数据库的任何人都可以看到用户名和密码。因此使用它。
存储用户名/密码哈希。这是一种更好的方法，但是可以通过将数据库中的密码哈希替换为您知道其身份验证信息的另一个帐户的哈希来访问该帐户。然后在授予访问权限后将其恢复回数据库中。

windows/*nix 如何处理这个问题？

最佳答案

This is a better method, but the account can be accessed by replacing the password hash in the database with the hash of another account that you know the auth info for.

这确实没有办法解决。任何对密码文件具有写入权限的人都可以完全控制计算机。

关于security - 处理用户帐户身份验证和密码的最佳方式，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/60757/

上一篇：ember.js - 生成 ember 应用程序的最佳方法是什么？

下一篇：websocket - 如何调试 websocket 服务器

database-design - 如何在列上存储元数据

java - JSOUP-JSP登录: Blank cookie

python - Django:自定义http header 身份验证

iphone - 我的服务器如何安全地验证 iPhone 应用内购买？

asp.net-mvc-3 - 在 ASP.NET MVC ViewModel 中存储模型 ID，安全问题

c# - 谁能解释一下 OAuth？

java - 如何在 Spring 中注销特定用户？以编程方式

symfony - "invalid entities"有什么危害？

php - 关键问题: Which key strategy should I use in my database?