Зашифрованные пароли в PHP-apis? Twitter?

Question

Я создаю небольшой сервис, используя api-библиотеки, такие как Twitter. Можно ли вводить пароль пользователя в Twitter-api crypted. Я бы не хотел хранить пароли людей, не скрещенные на моем сервере, но писать их каждый раз раздражает.

Кто-нибудь знает?

Мартти Laine

Answer 1

Вы должны рассмотреть возможность использования OAuth.
Here - несколько примеров.

Answer 2

Если вы используете PHP, вы можете использовать GnuPG extension легко зашифровать любые учетные на вашей стороне, и расшифровывать их, прежде чем принимать вызовы API.

Вот чек список вещей, которые вам нужно:

1. убедитесь GPG установлен на вашей системе;
2. создать пару ключей gpg и сохранить файлы в безопасном месте;
3. необязательный пароль защищает сгенерированный закрытый ключ;
4. использовать расширение PHP GnuPG для шифрования и дешифрования данных с использованием этих ключей.

Вот небольшой PHP пример, взятый из руководства gnupg_encrypt():

<?php 
$res = gnupg_init(); 
gnupg_addencryptkey($res,"8660281B6051D071D94B5B230549F9DC851566DC"); 
$enc = gnupg_encrypt($res, "just a test"); 
echo $enc; 
?> 

Этот метод также следует применять , даже если вы используете OAuth или другой беспарольный метод аутентификации. Общей ошибкой является использование OAuth, а не шифрование локально сохраненных токенов, поскольку доступ к этим токенам может дать кому-либо право действовать от имени пользователя.