我*必須*將第三方憑據存儲在我的數據庫中。最好的辦法？

如何解決我*必須*將第三方憑據存儲在我的數據庫中。最好的辦法？？

這是一項艱巨的任務，沒有任何方法可以避免麻煩，以確保沒有薄弱環節。對于初學者來說，我不知道在Google上托管是否是最好的方法，因為您將失去控制權（我真的不知道AppEngine在設計時是否考慮了所需的安全級別，您應該發現），并且可能無法進行滲透測試（您應該這樣做）。

擁有一個單獨的小型應用程序可能是一個好主意，但這并不能使您不必在此小型應用程序中加密一種或另一種憑據本身。它只是為您提供了簡單性，從而使事情更易于分析。

我個人將嘗試設計該應用程序，以便每次使用后密鑰都會隨機更改，采用一種一次性的方法。您沒有指定足夠詳細的應用程序以查看這是否可行。

解決方法

我的應用程序必須從第三方讀取SSL網址。如何最好地將第三方憑據存儲在自己的數據庫中，以保護第三方憑據免遭泄露？同時考慮絕對安全性和實用性。單向對憑據進行哈希處理沒有用，因為對于SSL調用，我必須將憑據還原為純文本。我在Google
App Engine上使用python，我的應用程序使用Google憑據進行身份驗證。

使用AES加密憑據，并將加密密鑰保存在其他位置（僅解決問題），或從憑據中獲取加密密鑰并將算法保密（僅解決問題）使用同步流密碼對憑據進行加密，從憑據中導出（非）熵，并將算法保密（僅解決問題）在專門用于存儲第三方憑據的單獨的Web應用程序上，提供一個SSL URL來接收第三方憑據，使用google憑據（與我的應用程序相同）訪問此URL，并且可以使用authsub或其他方式將授權轉移到另一個Web應用程序。這聽起來更安全，因為更難破解一個簡單的Web應用程序，而且如果我復雜的主應用程序遭到入侵，則不會公開第三方憑據。

您如何看待所有方法？