Github: https://github.com/snullp/goPwd
Demo: https://pwd.bigsquirrel.me
希望回复有理有据,高质量的分割线----------------
这个管理器的思路是通过OAuth获得一个Unique的MasterKey,然后用一个密码生成算法 根据(Entity name,MasterKey,Options)来生成密码。
管理器不使用数据库,减少了被脱库的风险。
假设服务器的filesystem content和memory content是安全的。
整个环节,因为生成算法是公开的,所以唯一需要注意的就是MasterKey。目前MasterKey是存在php的session里的,可以被认为是安全的吧?
MasterKey 是由Google的 UID(google account对应的唯一id)和 Google OAuth后端id(每个人都可以申请) 结合后哈希生成的。所以需要 Google OAuth后端id 保密(后端id需要存在config file里)。目前的设计上看在这点上是否有疏忽?
Demo: https://pwd.bigsquirrel.me
希望回复有理有据,高质量的分割线----------------
这个管理器的思路是通过OAuth获得一个Unique的MasterKey,然后用一个密码生成算法 根据(Entity name,MasterKey,Options)来生成密码。
管理器不使用数据库,减少了被脱库的风险。
假设服务器的filesystem content和memory content是安全的。
整个环节,因为生成算法是公开的,所以唯一需要注意的就是MasterKey。目前MasterKey是存在php的session里的,可以被认为是安全的吧?
MasterKey 是由Google的 UID(google account对应的唯一id)和 Google OAuth后端id(每个人都可以申请) 结合后哈希生成的。所以需要 Google OAuth后端id 保密(后端id需要存在config file里)。目前的设计上看在这点上是否有疏忽?
1
Select Language