我需要在PHP中实现Google身份验证器。为此,我使用了以下库:https://github.com/PHPGangsta/GoogleAuthenticator此方法基于秘密令牌,该令牌同时知道我手机中的PHP应用程序和Google身份验证器。我不明白的一件事是如何以安全的方式将秘密存储在数据库中。如果有人窃取了db的机密,则能够生成将通过控件的代码。我想我不能将其作为原始值存储在db中。我说的对吗?
真的想不出为什么需要存储所有秘密的原因。
如果必须存储它,那么绝对应该对其进行加密。实际上,您应该按照最佳实践对存储在数据库中的所有数据进行加密(显然,您应该对密码进行哈希处理,而不是对密码进行加密),尤其是敏感数据。
机密应保存在使用它的PHP文件中。