Как безопасно хранить OpenID пользователя

Question

Я пишу веб-приложение, которое позволяет зарегистрировать кого-либо (используя их OpenID). Когда пользователь регистрируется, их OpenID сохраняется в базе данных MySQL.

Мой вопрос: В каком формате следует хранить значение OpenID пользователя?

Если кто-то должен получить доступ к моей базе данных (я планирую сценарий наихудшего случая) - было бы проблемой, что OpenID пользователя можно просмотреть незашифрованным? Должен ли я шифровать его, когда он отправляется на хранение?

Answer 1

Там нет никакой реальной пользы в защите их открытый идентификатор: это вся суть!

OpenID создан таким образом, что «защищенная информация» недоступна на промежуточных сайтах, где вы его используете, - единственная защищенная информация хранится в Провайдере OpenID (сайте, на котором вы действительно вводите свой пароль).

Скомпрометированная база данных на вашем сайте означает, что злоумышленник узнает, кто ваши пользователи, но не более того, не меньше.

Answer 2

Это одна из тех вещей, которая зависит от личного вкуса, но MySQL предлагает некоторые функции шифрования, которые вы, возможно, захотите рассмотреть.

http://dev.mysql.com/doc/refman/5.1/en/encryption-functions.html

Answer 3

 
In which format should I be storing a user's OpenID value? 

Даже если кто-то имеет доступ к OpenId, хранящимся в базе данных, эта информация будет бесполезны для него, как это только URL, который запрашивает деталь аутентификации пользователя при выполнении.

Так что вам не о чем беспокоиться.

Поставщики openid позаботятся об этом, если введенные данные верны или нет.