如何将用户密码存储到另一个 Web 应用程序

Question

我正在构建一个网络应用程序，向用户展示其 Gmail 活动的有趣可视化（他们最常向谁发送电子邮件等）。显然，用户需要向我提供他的 Gmail 密码才能使用该应用程序，我想知道应该如何存储它：

1. 以明文形式存储 Gmail 密码。有风险！
2. 根本不存储 Gmail 密码；强制用户每次想要同步数据时都输入它。可能不方便！
3. 在存储 Gmail 密码之前对其进行加密。我的应用程序的用户密码是关键。

像（3）这样的东西似乎是最好的，但是对于（3）我只能在用户登录时同步数据（因为我在任何其他时间都不知道他的应用程序密码），这并不理想。我更喜欢类似于 Mint.com 的解决方案，用户可以随时单击按钮从 Gmail 同步数据无需重新输入密码（知道 Mint 如何在不存储您的银行密码的情况下完成此操作吗？）

Answer 1

截至 4 天前（好时机！）Gmail 支持 OAuth 通过 IMAP 访问邮件数据。这意味着您的应用程序永远不需要查看用户的密码。 文档包含库和示例代码。

Answer 2

您正在从事一项非常危险的账户聚合业务。 Yodlee 为 Mint 进行帐户聚合，事实上 Mint 并不像 WhirlWind 建议的那样存储银行密码。 Mint 将其卸载给 Yodlee，后者可以存储或与银行机构进行某种安全集成。我的建议是不要存储密码并让用户每次都输入密码，或者使用谷歌允许您使用的有限 OAUTH。不确定您是否可以从中获得所有分析。