一点背景——
我运行一个使用 Java 运行的游戏服务器,以及一个使用 PHP (phpbb) 运行的论坛。我将游戏和论坛账号关联起来,这样在游戏中更改密码会自动更改论坛账号的密码。这两个系统使用不同的密码哈希算法,我需要使用 phpbb 的内置函数在论坛端更新密码哈希,这意味着我必须从 PHP 脚本调用它们(而不是运行我自己的代码)。
为了做到这一点,我决定让 Java 在需要更改密码时通过向 PHP 脚本发出 HTTP 请求来调用 PHP 脚本,以触发 PHP 脚本来完成论坛的密码更改过程帐户。但是,我不想将明文密码放入任何 HTTP 调用中,因为它可能会出现在日志文件和其他可利用区域中。我目前的想法是,当 Java 端更改密码时,它将新的明文密码放入数据库表中,然后发出 HTTP 请求来触发 PHP 脚本,这样 HTTP 请求中就不会出现哈希或敏感信息。 HTTP 调用只会传递要更改的帐户的用户名,以及共享 secret 的 md5 哈希值和用户名,以进行身份验证。当 PHP 脚本运行时,它从数据库中检索用户的新明文密码,立即将其删除,然后通过 phpbb 的哈希算法运行明文密码并更新论坛数据库。
在典型情况下,明文密码在被删除之前可能会在数据库中保留不到一秒钟。理想情况下,我根本不会将它存储在任何地方,但是当我无法预测论坛的密码哈希是什么时,我不确定如何将所需的更改从 Java 传达给 PHP,所以我需要以某种方式发送执行散列的 PHP 脚本的明文密码。
关于执行此操作的更好方法的任何想法,或者是否有任何关于在很短的时间内存储明文密码的反馈?我认为 MySQL 登录是安全的,不会与其他人或项目共享。
谢谢!
最佳答案
不要存储明文密码。 如果您的游戏变得流行,它可能会成为黑客不断攻击的目标 特别是如果它包含货币方面(即 - 魔兽世界,travian 和其他人的情况)。 在这种情况下,您需要假设虽然您试图保护您的系统, 有人可能会破解它,并因此获得敏感数据。 您应该使用标准的加密机制来执行此任务(例如,以安全的方式通过 HTTPS 将密码发送到论坛系统)。 我还建议您探索@Joshua Kaiser 的评论 - 单点登录可能是满足您需求的关键, 不要试图在这里重新发明轮子。例如,我可以告诉你我使用 kerberos, Kerberos 有一个票据机制,票据可以在应用程序之间重复使用。不幸的是,我不懂 PHP,也不知道论坛框架如何可插入以使用不同的身份验证模块。
P.S - 我错误地发布了这个答案两次,并尝试按“删除帖子” - 我希望 stackoerflow 能解决这个问题。
关于java - 将明文密码*暂时*存储在 MySQL 中是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13486126/
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
这个问题在这里已经有了答案:Checktoseeifanarrayisalreadysorted?(8个答案)关闭9年前。我只是想知道是否有办法检查数组是否在增加?这是我的解决方案,但我正在寻找更漂亮的方法:n=-1@arr.flatten.each{|e|returnfalseife
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/
我有一个包含多个键的散列和一个字符串,该字符串不包含散列中的任何键或包含一个键。h={"k1"=>"v1","k2"=>"v2","k3"=>"v3"}s="thisisanexamplestringthatmightoccurwithakeysomewhereinthestringk1(withspecialcharacterslike(^&*$#@!^&&*))"检查s是否包含h中的任何键的最佳方法是什么,如果包含,则返回它包含的键的值?例如,对于上面的h和s的例子,输出应该是v1。编辑:只有字符串是用户定义的。哈希将始终相同。 最佳答案
我需要检查DateTime是否采用有效的ISO8601格式。喜欢:#iso8601?我检查了ruby是否有特定方法,但没有找到。目前我正在使用date.iso8601==date来检查这个。有什么好的方法吗?编辑解释我的环境,并改变问题的范围。因此,我的项目将使用jsapiFullCalendar,这就是我需要iso8601字符串格式的原因。我想知道更好或正确的方法是什么,以正确的格式将日期保存在数据库中,或者让ActiveRecord完成它们的工作并在我需要时间信息时对其进行操作。 最佳答案 我不太明白你的问题。我假设您想检查
我的日期格式如下:"%d-%m-%Y"(例如,今天的日期为07-09-2015),我想看看是不是在过去的七天内。谁能推荐一种方法? 最佳答案 你可以这样做:require"date"Date.today-7 关于ruby-检查日期是否在过去7天内,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/32438063/
这里有一个很好的答案解释了如何在Ruby中下载文件而不将其加载到内存中:https://stackoverflow.com/a/29743394/4852737require'open-uri'download=open('http://example.com/image.png')IO.copy_stream(download,'~/image.png')我如何验证下载文件的IO.copy_stream调用是否真的成功——这意味着下载的文件与我打算下载的文件完全相同,而不是下载一半的损坏文件?documentation说IO.copy_stream返回它复制的字节数,但是当我还没有下
我们的git存储库中目前有一个Gemfile。但是,有一个gem我只在我的环境中本地使用(我的团队不使用它)。为了使用它,我必须将它添加到我们的Gemfile中,但每次我checkout到我们的master/dev主分支时,由于与跟踪的gemfile冲突,我必须删除它。我想要的是类似Gemfile.local的东西,它将继承从Gemfile导入的gems,但也允许在那里导入新的gems以供使用只有我的机器。此文件将在.gitignore中被忽略。这可能吗? 最佳答案 设置BUNDLE_GEMFILE环境变量:BUNDLE_GEMFI
