回环密码加密与- AES AES密码

Question

我们有一个现有的应用程序，它是使用rails开发的，但我们正在迁移到回送。我们面临的问题之一是密码的不同加密方法。我们使用了AES加密方法，而回环则使用bcrypt。我有两个问题

1. 哪种加密(AES或bcrypt方式)更好
2. 如果我们要实现bcrypt，那么从web登录和从API登录是否是一致的。我知道我们用过盐(基本盐)。

请建议一下。

谢谢你，拉杰

Answer 1

AES对密码存储没有多大意义:它是一种加密算法(而不是哈希算法)。为了存储密码，无论发生什么情况，都应该始终使用bcrypt。

您也不希望使用您的用户名/密码(例如: bcrypt)登录到API。您希望专门为API用户生成API密钥(随机uuids) --这降低了公开泄漏用户凭据(用户名/密码)的风险，这可能会造成巨大的漏洞。