Как лучше хранить пароли на компьютере клиента?

Question

[Эрнэст Фарукшин]

Как лучше хранить пароли на компьютере клиента?

Comments

[Максим Федоров]

что вы под клиентом понимаете?
что за пароли?

[Эрнэст Фарукшин]

Максим Федоров, Ну везде же есть функция "запомнить меня". Вот где и как эти запомненные данные хранить?

Answer 1

[Павел Талайко]

Если Вы имеете сервер, то посмотрите в сторону JWT. На основе пароля и соли (ключевое слово) генерировать токен (с ключевым словом которое знает только сервер), который позволит получать информацию о пользователе Вашей системы по этому токену, привязываете к пользователю текущий токен (при желании можно делать срок годности токена).

1. Не хранить пароли в открытом виде.
2. Не хранить пароли на стороне пользователя (если есть сервер).
3. Смешивать пароль с ключевым (Вашим) словом приложения (добавлять соль) и шифровать.
4. Желательно использовать пароль только для log in, а при получении токена использовать только его.

Comments

[Эрнэст Фарукшин]

А допустим функция "запомнить меня" тоже с помощью токена

[Эрнэст Фарукшин]

И где хранить этот токен на сервере, в бд?

[Павел Талайко]

Эрнэст Фарукшин, смотря что у Вас клиент. Хранить в БД. Или где Вам удобно. Запомнить меня (получаем токен после log in и добавляем у клиента browser -> localstorage, desktop -> sqlite, подгружаем токен из кэша и отправляем на сервер -> если токен не просрочен и правильный, то пропускаем клиента к бизнес логики).

[Эрнэст Фарукшин]

Павел Талайко, Я ещё хочу сделать шифрование. Можно ли на сервере хранить в Map значение токен - открытый ключ. Или лучше сделать это как то по другому?

[Павел Талайко]

Конечно можно. Неважно как Вы храните значение, важно то, как Вы с ними работаете.