将用户凭据安全地存储在数据库中，用于 PHP Web 应用程序

发布于 2024-10-16 01:39:51 字数 764 浏览 2 评论 0原文

我构建了一个 Web 应用程序，现在需要存储用户凭据以访问另一个系统。（尽管我不想这样做，但不幸的是我在这件事上别无选择。）

我的 Web 应用程序通过 LDAP 与 Windows 域控制器交互以验证用户帐户。因此，当用户登录我的应用程序时，应用程序会检查 LDAP 以确保他们是有效用户并且密码正确。一旦通过身份验证，就会从 MySQL 数据库加载用户的各种数据。

现在，我需要以某种方式在这个数据库中存储另一个系统的用户名和密码，我正在探索最安全的方法来做到这一点。

我考虑过的一种方法是使用用户的域密码（由 LDAP 验证）作为加密密钥来加密另一个系统的凭据。这样，如果有人确实以某种方式获取了数据库，那么它就没有多大用处，因为每个记录都将使用不同的（希望无论如何）密钥进行加密，并且该密钥不会出现在 Web 应用程序本身的任何位置。此方法的问题在于，当用户更改密码时，为其他系统保存的凭据不再有效。然后我必须再次提示输入其他系统凭据。我不反对这样做，只要没有其他方法。

有什么想法吗？感谢您抽出时间。

编辑：我刚刚想到的其他事情是基于 LDAP 公开的其他一些数据进行加密。 objectGUID 是一个看起来很有前途（但对于域中的任何人来说也可能不安全）的值，我认为它是帐户的 GUID。我可能会使用这个加密密钥。域用户或其他人很容易找到它吗？

编辑#2：我发现任何域用户都可以通过 LDAP 轻松查找 GUID，因此我决定不再使用该方法。我可能必须根据用户密码进行加密，除非有其他建议。

原文