Как безопасно хранить OpenID пользователя

Question

Я пишу веб-приложение, которое позволяет любому зарегистрироваться (используя свой OpenID). Когда пользователь регистрируется, его OpenID сохраняется в базе данных MySQL.

Мой вопрос: в каком формате я должен хранить значение OpenID пользователя?

Если кто-то получит доступ к моей базе данных (я планирую наихудший сценарий) - будет ли проблемой то, что OpenID пользователя можно будет просматривать в незашифрованном виде? Должен ли я шифровать его, когда он входит в хранилище?

Answer 1

Нет реальной выгоды в защите их открытого идентификатора: в этом весь смысл!

OpenID сделан таким образом, что «защищенная информация» недоступна на сайтах-посредниках, где вы ее используете - единственная безопасная информация хранится у поставщика OpenID (сайта, где вы фактически вводите свой пароль).

Скомпрометированная база данных на вашем сайте означает, что злоумышленник будет знать, кто ваши пользователи, но не более, не менее.

Answer 2

In which format should I be storing a user's OpenID value?

Даже если кто-то имеет доступ к openid, хранящемуся в вашей базе данных, эта информация будет ему бесполезна, так как это всего лишь URL, который запрашивает данные аутентификации пользователя при выполнении.

Так что тебе не стоит об этом беспокоиться.

Поставщики openid позаботятся об этом, если введенные данные верны или нет.

Answer 3

Это одна из тех вещей, которая зависит от личного вкуса, но MySQL действительно предлагает некоторые функции шифрования, на которые вы можете взглянуть.

http://dev.mysql.com/doc/refman/5.1/en/encryption-functions.html