Es klingt vielleicht wie eine alberne Frage, denn Passwörter müssen natürlich gehashed werden und das Original niemals speichern.Sollten API-Geheimnisse gehashed werden?
für API Geheimnisse Allerdings, in der Regel sehe ich sie im Klartext angezeigt, wenn für sie die Anmeldung.
Zum Beispiel, wenn ich an die Google-API-Konsole gehen und schauen Sie sich meine Zugangsdaten Seite, kann ich meinen Klienten Geheimnis, das gleiche für Twitter ansehen.
Sicher sind API-Schlüssel genauso empfindlich wie Passwörter?
Ist es nur, weil von der Provider-Seite, Sie, dass ein ausreichend starkes Passwort generiert sicher sein kann, wird? Wenn das der Fall ist, dann bietet das keinen Schutz, wenn Ihre Datenbank kompromittiert ist.
Oder ist es vielleicht, weil Sie, wenn Sie Token-basierte Authentifizierung verwenden, entweder Passwort-Grant-Typ, der Sie Ihre Anmeldeinformationen zusammen mit der Client-ID und geheimen oder ein Aktualisierungstoken senden müssen, so würde ein Benutzer musste schon kompromittiert sein?
Danke. Für mich ist ein Client-Geheimnis eine sensible Information, daher werde ich mich immer dafür entscheiden, es zu hacken. Ich habe gelesen, dass AWS dies jetzt anscheinend tut (oder bald sein wird), also bin ich nicht der einzige, der denkt, dass es wahrscheinlich eine gute Idee ist :) Wie Sie gesagt haben, nehme ich an, dass Google und Twitter nicht Hash für Usability-Gründe, und unter Berücksichtigung ihrer Benutzerbasis ist es etwas verständlich (Aber selbst bei ihrer Größe würde ich lieber nicht). Guter Punkt über den mobilen Client, nehme ich an, das gleiche gilt für Javascript Apis (Das Geheimnis ist auf dem Client, so dass Sie die Kontrolle über sie verloren haben). – Steviebob