Задать вопрос
savostin
@savostin
Еще один программист

"Удаленные руки" и безопасность пароля

Подскажите пожалуйста знающие люди направление копания.

Есть идея сделать сервис, который будет выполнять автоматически, без участия пользователя, определенные действия на другом, стороннем сайте. Естественно сторонний сайт требует авторизации по логину/паролю. OAuth нет. Т.е. для входа на сайт всегда нужна комбинация логин/пароль. Есть еще ключ сесси, который по идее можно получить и хранить вместо логина/пароля, но есть вероятность, что ключ станет невалидным. Тогда пользователь должен будет «перевойти», что не удобно. Да и поддерживать этот ключ надо будет, постоянно «пингуя» сторонний сервис.

Собственно вопрос — как это всё максимально секьюрно организовать, чтобы и пользователь чувствовал себя защищенным и себя максимально обезопасить от воровства паролей клиентов?

Пока вижу только вариант с хитрым самописным алгоритмом шифрования (или «обычным» алгоритмом с зашитой в исходник солью), скомпилированным в исполняемый код, а в базе понятно зашифрованные логин/пароль.

Еще раз уточню схему:
1. Пользователь регистрируется на моем сервисе, оставляет (?) логин/пароль от стороннего сервиса
2. Сервис сам (по крону) логинится за пользователя на стороннем сервисе, производит действия, пишет логи.
3. Клиент заходит на мой сервис, проверяет логи.
  • Вопрос задан
  • 2862 просмотра
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
GavriKos
@GavriKos
Обычно то, насколько пользователь чувствует себя защищенным, не сильно зависит от того, как и что вы шифруете — пользователь этого всего не видит. Обезопасить от воровства — да, шифрование, соль…

А сторонний сервис — один фиксированный?
Ответ написан
sajgak
@sajgak
если сторонний сервис не поддерживает открытой авторизации, то только логин с паролем. Можно конечно извращаться, но обычно малейшее изменение в логике сервиса, и вы должны искать новый способ хранения данных.
Ответ написан
savostin
@savostin Автор вопроса
Еще один программист
Какие есть рекомендации по методу шифрования? Скажем DES_ENCRYPT подойдет?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы