代码之家 › 专栏 › 技术社区 › Richard Szalay

在Windows应用程序中保存用户凭据

authentication security windows .net

Richard Szalay · 技术社区 · 16 年前

有没有在.NET Windows应用程序中存储凭据的最佳实践方法,是内置API还是推荐的加密算法?

与Tortoise SVN、Spotify和Skype的线路相同。

编辑: 我的目的是使用一个从其身份验证服务返回令牌的Web服务。然后其他服务接受该令牌作为参数。但是,令牌将在30分钟后过期,因此存储令牌本身对于该任务是毫无意义的。

3 回复 | 直到 16 年前

Richard Szalay 16 年前

似乎使用 ProtectedData (包裹着 Windows Data Protection API )是我的最佳选择,因为它可以根据当前登录的用户进行加密。

byte[] dataToEncrypt = new byte[] { ... };

// entropy will be combined with current user credentials
byte[] additionalEntropy = new byte { 0x1, 0x2, 0x3, 0x4 };

byte[] encryptedData = ProtectedData.Protect(
    dataToEncrypt, additionalEntropy, DataProtectionScope.CurrentUser);

byte[] decryptedData = ProtectedData.Unprotect(
    encryptedData, additionalEntropy, DataProtectionScope.CurrentUser);

Pontus Gagge 16 年前

最佳实践是从不存储凭据,只存储Kerberos令牌…不幸的是,并非每个资源都允许这种身份验证。

Chris Becke 16 年前

有很多 recomendations 在msdn中重新输入密码。您需要为 CryptProtectData

推荐文章

MaSc. H. · 大小与阵列大小

7 月前

David 54321 · 我的密码在pyinstaller.exe中安全吗?

1 年前

Duong Duc Nguyen · 如何检测Windows应用程序(.exe)是否正在向外部发送数据?

1 年前

Michael · 某些Windows客户端上的命名管道安全问题

1 年前

al ice · 具有颤振的鲁棒认证

1 年前

adamency · 是否可以从Go二进制文件的源代码中检索字符串?

1 年前

Tricotou · $.get(code_url)执行返回的代码,不使用eval(),也不将其附加到DOM。jQuery安全性失败?

1 年前

AlboSimo · PayPal Api密钥安全

1 年前

Jordan Regan · 仅在响应中保护HTTP cookie,但不保护请求

1 年前

kellerkindt · 不带查询字符串的Apache2 ProxyPass

1 年前