环回密码加密相对于 rails AES 密码

Loopback password encryption vis-a-vis rails AES password

我们有一个使用 rails 开发的现有应用程序,但我们正在迁移到环回。我们面临的问题之一是密码的不同加密方法。我们使用了 AES 加密方法,而环回使用 bcrypt。我有两个问题

  1. 哪种加密(AES 或 bcrypt 方式)更好
  2. 如果我们要实施 bcrypt,那么从 Web 登录和从 API 登录是否一致?我知道我们用过盐(基本)。

请推荐。

谢谢, 拉吉

AES 对于密码存储没有多大意义:它是一种加密算法(不是散列算法)。为了存储密码,无论如何您都应该始终使用bcrypt。

您也不想使用 username/password(例如:bcrypt)登录 API。您想要专门为 API 用户生成 API 密钥(随机 uuids)以进行身份​​验证——这可以降低公开泄露用户凭据 (username/password) 的风险,这可能会导致巨大的漏洞.