Nó có vẻ giống như một câu hỏi ngớ ngẩn, bởi vì mật khẩu của khóa học cần phải được băm và không bao giờ lưu trữ bản gốc.Các bí mật API có nên bị băm nhỏ không?
Tuy nhiên, đối với bí mật API, thường tôi thấy chúng được hiển thị rõ ràng khi đăng ký chúng.
Ví dụ: nếu tôi truy cập bảng điều khiển google api và xem trang thông tin đăng nhập của mình, tôi có thể xem bí mật của khách hàng của mình, tương tự cho twitter.
Khóa api chắc chắn cũng nhạy cảm như mật khẩu?
Có phải chỉ vì bên phía nhà cung cấp, bạn có thể tự tin rằng mật khẩu đủ mạnh đang được tạo? Nếu đó là trường hợp, sau đó không cung cấp bất kỳ bảo vệ là cơ sở dữ liệu của bạn bị xâm nhập. Hoặc có lẽ vì nếu bạn đang sử dụng xác thực dựa trên mã thông báo, bạn đang thực hiện loại cấp mật khẩu, yêu cầu bạn gửi thông tin đăng nhập cùng với id ứng dụng và bí mật hoặc mã thông báo làm mới, để người dùng đã phải bị xâm phạm?
Cảm ơn. Đối với tôi, bí mật của khách hàng là một phần thông tin nhạy cảm, vì vậy tôi sẽ luôn chọn tham gia băm. Tôi đã đọc rằng dường như AWS thực hiện việc này ngay bây giờ (hoặc sẽ sớm), vì vậy tôi không phải là người duy nhất nghĩ rằng đó có thể là ý tưởng hay :) Như bạn đã nói, tôi cho rằng Google và Twitter không băm vì lý do khả năng sử dụng và việc xem xét cơ sở người dùng của họ có phần dễ hiểu (nhưng ngay cả ở kích thước của chúng tôi cũng không thích). Điểm tốt về ứng dụng khách di động, tôi cho rằng điều tương tự cũng đúng với javascript apis (Bí mật là trên ứng dụng khách nên bạn đã mất quyền kiểm soát nó). – Steviebob