АК
Nikolay Неа, я вроде не говорил, что так
Size: a a a
2020 May 18
АК
Хотя может где-то вправду шифруют, кто знает
DO
Артур Куликов
Объясни примерно в чём смысл токена и как он используется
окей. токен используется для доступа к магазинам Shopify. его надо хранить в безопасности, потому что если кто-то злой получит доступ к магазинам, будет ая-яй. какие меры безопасности лучше использовать?
D
Сложно. Их тебе присылают? Они генерируются? Они разные под каждого пользователя?
D
Сикреты обычно не в бд хранят
NC
окей. токен используется для доступа к магазинам Shopify. его надо хранить в безопасности, потому что если кто-то злой получит доступ к магазинам, будет ая-яй. какие меры безопасности лучше использовать?
Не уверен что если человек имеет доступ к базе данных, знает алгоритм шифрования и соль его хеширование остановит или только к бд имеют доступ?
DO
Сложно. Их тебе присылают? Они генерируются? Они разные под каждого пользователя?
они генерируются Shopify когда делаешь туда запрос
DO
Nikolay Cherniy
Не уверен что если человек имеет доступ к базе данных, знает алгоритм шифрования и соль его хеширование остановит или только к бд имеют доступ?
+, только к бд
DO
мне надо всё создать очень умно с точки зрения безопасности
D
Правильно понимаю, у тебя появляется новый пользователь, ты регистрируешь его на shopify, получаешь токен и сохраняешь? Или токен сессионный, когда пользователь заходит на твой сайт через Shopify?
NC
мне надо всё создать очень умно с точки зрения безопасности
Я могу только в качестве хэшера argon2 порекомендовать
DO
Правильно понимаю, у тебя появляется новый пользователь, ты регистрируешь его на shopify, получаешь токен и сохраняешь? Или токен сессионный, когда пользователь заходит на твой сайт через Shopify?
короче, человек нажимает на кнопку "Авторизовать магазин", потом идёт серия запросов на шопифай, в результате которой я получаю перманентный доступ к магазину.
D
У меня например был проект, в котором надо логиниться через Patreon. Я делал редирект к патреону, где человек нажимал "подтверждаю, что хочу войти на этот сайт через Patreon" и я получал токен.
АК
Я бы генерил уникальное число для каждого пользователя. Далее можно это число слепить с солью и сгенерить ключ для симметричного шифрования. Ключи не хранить, а генерацию ключа использовать такую, что при одном входе мы бы получали один и тот же ключ. Получил ты токен, сгенерил ключ, спрятал токен шифрованный в бд. Нужен токен: достал, сгенерил ключ, расшифровал, использовал.
D
А через этот токен я получал доступ к данным на Patreon
DO
да, такая система примерно
D
Храни эти токены в сессии
DO
Артур Куликов
Я бы генерил уникальное число для каждого пользователя. Далее можно это число слепить с солью и сгенерить ключ для симметричного шифрования. Ключи не хранить, а генерацию ключа использовать такую, что при одном входе мы бы получали один и тот же ключ. Получил ты токен, сгенерил ключ, спрятал токен шифрованный в бд. Нужен токен: достал, сгенерил ключ, расшифровал, использовал.
умно🤔
D
Когда пользователь выйдет - токен сотрётся. Когда ещё раз зайдёт - получишь новый
АК
Но отчего-то мне кажется, что лучше использовать @lsblk совет