パースからパスワードをエクスポートする

Question

私はParse.comからデータをエクスポートしましたが、パスワードはbcryptを使用して暗号化されています。私はMySQLデータベースにデータを格納し、ユーザーは簡単なRESTful APIを介して接続します。ユーザー名とパスワードを取得したと仮定して、保存されたパスワードに一致するかどうかを確認するにはどうすればよいですか？

Answer 1

ここで私は外に出て、パスワードがbcryptで暗号化されたら解読する方法がないと言います - これは無数の理由で大規模なセキュリティホールになるでしょう。私たちは、パスワードを保存するためにbcryptの内部で使用

• https://www.parse.com/questions/encryption-decryption-techniques-provided-by-parse-for-passwords-or-urls：ここでは、このケースであることの方にヒントリンクのカップルです。ただし、暗号化されたバージョンのパスワードはAPIに公開されていないため、復号化できません。要するに

• How to send Parse user's password to external API Request?

• https://stackoverflow.com/questions/35593429/get-parses-user-password-in-decrypted-format

、あなたは彼らが自分のパスワードを変更する必要がありますことをユーザーに出て通信する必要があるとして（あるいは、少なくともしていますそれらを新しいサービスに移行するときに確認してください）。

私はそうのようなワークフローをお勧めしたい：

• を自分のパスワードを確認する/再検証必要があることをユーザーに通知します。データ移行によるものだと伝えるかどうかはあなた次第ですが、私は通常、開示と誠実さの面で大声を出します。これはユーザー単位で行うことも、バルク通信を送信することもできます。

• ユーザーが次にアプリケーションにログインすると、パスワードの確認（または変更）を促すメッセージが表示されます。 Parse SDKを使用してパスワードを検証し、認証が成功した場合は、選択した暗号ソリューションを使用して現在知られているパスワードを再暗号化し、新しいBaaS/dBに保存します。

• ユーザーがパスワードを検証できない、または覚えていない場合は、電子メールまたは2FA認証プロセスを使用してパスワードをリセットし、同じ方法で保存します。

Answer 2

パスワードを復号化することはできません。

parse.comデータベース移行ツールを使用して、データを外部のMongoDBにエクスポートすることを強くお勧めします。 Parse Serverを使用して、RESTful APIを提供することができます。これは、簡単に自分の自己ホスト型サーバーをホストすることによって行うことができるかhttps://www.back4app.com

などの解析ホスティングソリューションは、以下のリンクにあるすべてのオプションを参照してください： https://github.com/ParsePlatform/parse-server#parse-server-sample-application