To może brzmieć jak głupie pytanie, ponieważ hasła oczywiście muszą być mieszane i nigdy nie przechowywać oryginału.Czy tajemnice API powinny zostać zahartowane?
Jednak w przypadku tajników interfejsu API zazwyczaj widzę je wyświetlane w sposób wyraźny podczas rejestracji.
Na przykład, jeśli przejdę do konsoli Google Api i zajrzę na stronę moich poświadczeń, mogę wyświetlić mój tajny klucz klienta, taki sam jak na Twitterze.
Z pewnością klucze interfejsu API są tak samo czułe jak hasła?
Czy to tylko dlatego, że od strony dostawcy możesz być pewien, że generowane jest wystarczająco silne hasło? Jeśli tak jest, to nie zapewnia żadnej ochrony, ponieważ twoja baza danych jest zagrożona.
A może dlatego, że jeśli używasz uwierzytelniania opartego na tokenach, robisz typ przydziału hasła, który wymaga wysyłania poświadczeń wraz z identyfikatorem klienta i tajnym kluczem lub odświeżaniem tokena, aby użytkownik już musiała zostać naruszona?
Dzięki. Dla mnie tajemnica klienta jest wrażliwą informacją, więc zawsze wybieram hash. Przeczytałem, że najwyraźniej AWS robi to teraz (Lub będzie wkrótce), więc nie jestem jedynym, który myśli, że to chyba dobry pomysł :) Jak już powiedziałeś, zakładam, że Google i Twitter nie hash ze względu na użyteczność, a biorąc pod uwagę ich bazę użytkowników, jest to trochę zrozumiałe (ale nawet w ich wielkościach wolałbym tego nie robić). Dobra rzecz o kliencie mobilnym, zakładam, że to samo dotyczy javascript apis (Sekret jest na kliencie, więc straciłeś nad nim kontrolę). – Steviebob