Как сохранить чужой пароль?

Question

Существует общий консенсус в отношении того, как хранить пароли, если вы должны сами их проверить (т. Е. Хеш + соль (+ перец)). Тем не менее, я создаю приложение, которое регистрирует пользователей в какой-нибудь службе X, чтобы повторять действия A, B, C.

Как хранить пароли в этом случае? Даже если они зашифрованы, должна быть конверсия 1 к 1, если требуется зарегистрировать их в службе X.

Answer 1

Безопасный способ хранения паролей, которые могут быть дешифрованы в их текстовую форму, не существует.

Протокол OAuth2 предлагает решение для вашего прецедента.

Он запрашивает у пользователя аутентификацию, а затем выдает вашему приложению токен доступа (и, возможно, токен обновления), который позволяет вашему приложению получать доступ или действовать от имени пользователя.