Bu aptalca bir soru gibi gelebilir, çünkü şifrelerin elbette hash olması ve asla orijinali saklamaması gerekir. Bununla birlikte, API sırları için, genellikle onlar için kayıt olurken açık olarak görüntülendiklerini görüyorum.API Sırları Karmalanmalı mı?
Örneğin, google API konsoluna gidip kimlik bilgileri sayfama bakarsak, istemcimin gizemini twitter için de görüntüleyebilirim.
Kesinlikle api anahtarları parola kadar hassas mı?
Bunun nedeni, yalnızca sağlayıcı tarafında olduğundan, yeterince güçlü bir parola oluşturulduğundan emin olabilirsiniz? Bu durumda, o zaman herhangi bir koruma sağlamaz, veritabanınız tehlikeye girer.
Belki de jeton tabanlı kimlik doğrulaması kullanıyorsanız, sizden kimlik bilgilerinizi istemci kimliği ve sırrı veya yenileme jetonuyla birlikte göndermenizi gerektiren bir şifre hibe türü yapıyor olursunuz. Zaten ele geçirilmiş olmalıydı?
Birkaç olası bu cevaplar tahmin edebilirsiniz
Teşekkürler. Benim için, bir müşteri sırrı hassas bir bilgi parçasıdır, bu yüzden her zaman bunu karıştırmayı tercih edeceğim. Şu an bunu okuduğumu okudum AWS bunu şimdi (Ya da yakında olacak), bu yüzden muhtemelen iyi bir fikir olduğunu düşünen tek kişi ben değilim :) Dediğin gibi, Google ve Twitter'ın olmadığını Kullanılabilirlik nedenlerinden ötürü ve kullanıcı tabanını göz önünde bulundurarak bir ölçüde anlaşılabilir (Ama büyüklükte olsa bile tercih etmemeyi tercih ederim). Mobil istemci hakkında iyi bir nokta, javascript apis için de aynısının olduğunu varsayalım (Müşterinin gizli sırrı bu yüzden kontrolünü kaybettiniz). – Steviebob