ユーザーパスワードを保存する方法については、スタックオーバーフローに関する多くの質問があります。もちろん、パスワードをハッシュしてハッシュを比較するのが一般的なアドバイスです。ハッシング時にパスワードをデータベースに保存する
しかし、人が自分の環境に展開するシュリンクラップイントラネットアプリケーション(SharePointなど)を構築しているとします。また、HTTP経由で外部サービスにアクセスするためにユーザー名とパスワードの組み合わせが必要であるとします(APIキーまたは連携セキュリティに依存するソリューションはサポートされていません)。
この場合、私たちが呼び出したWebサービスに元のパスワードを渡す必要があるため、パスワードをハッシュできません。暗号化は2番目に優れたソリューションですが、暗号化キーにはどのようなものが使用されますか?攻撃者がデータベースを侵害した場合、おそらく最初にデータを暗号化するために使用される鍵にアクセスできますか?
保存されたパスワードのプレーンテキストバージョンを取得することが本当に必要な場合は、どのようにして問題を最も安全に解決しますか?
アプリケーションにパスワードが表示されません。 Webサービスを呼び出すときにパスワードを基本的なHTTP資格情報として送信します。アプリケーションにWebサービスを「追加」すると、ユーザーは一度パスワードを入力します。 –