常用的凭证缓存解决方案？

Question

我对应用程序中的凭据缓存有疑问。我在网上搜索了这个问题的解决方案，但没有找到任何东西（这真的很令人惊讶，因为这是每个 Facebook、Twitter 和电子邮件客户端应用程序都必须处理的问题）。

我的问题是这样的：

假设我正在构建一些简单的 Twitter 客户端。我不想强迫用户每次都输入密码。大多数应用程序如何解决这个问题？在某些时候，客户端需要进行 API 调用来进行身份验证（其中包括密码，通常为纯文本形式）。但是，显然，以纯文本形式将密码保存在某处并不是正确的解决方案。那么，大多数应用程序如何安全地做到这一点呢？我想如果密码被加密，您可以将密码缓存在文件或数据库中，但是如何安全地存储解密密钥呢？或者它是在运行时使用来自客户端计算机的唯一信息作为种子生成的？

有没有任何资源（文章、书籍等）讨论这个问题？大多数应用程序如何处理这个问题？

谢谢！

Answer 1

单点登录 (SSO) 设置通常通过提供集中式方法来使用某种类型的会话 ID 生成、分发和验证密钥来实现您所描述的目的。

请参阅一种方法（由 StackExchange/StackOverflow 使用）：

< a href="http://openid.org/" rel="nofollow noreferrer">http://openid.org/

这是我不知道的事情：此类功能称为 联合身份。例如，我工作的网络系统提供（但不要求）Shibboleth。请参阅此处查看选项列表：

http://en.wikipedia.org/wiki/Category:联合身份