目前我们正在开发一个小应用程序,其中存储了来自基于JS的图形编辑器(类似于此版本)的大量JSON数据在基于Rails的后端中。我们想允许用户加密(AES、RSA或其他方式)存储数据,在这种情况下,我们作为应用程序维护者无法解密存储在数据库中的数据 - 前提是密码足够强壮。没有用户帐户管理,仅此而已。人们只能通过秘密链接创建和编辑他们的图形,没有更多的权限。
在编辑或保存当前状态之前,需要使用密码来加密/解密从DB中出入的图形。现在,我们面临以下概念问题:
整个会话期间是否要保存密码?如果不保存,则每次刷新浏览器或想将当前图形状态保存到数据库中时,用户都需要输入密码。这很不方便...
如果从软件工程角度考虑,这是可行的:一般情况下,这种信息存储在哪里?除了 cookie 以外,有哪些选项?
如果是这样,我们是否需要存储明文密码,还是有一种方法可以加密密码以使在 cookie 被盗的情况下攻击者更难获取密码?