0

我正在为 CMS 实现 API。

客户端通过公钥或私钥访问 API(用于更敏感的数据)。他们可以使用私钥读取和写入数据库。

我将密钥(只是随机字符串)作为明文存储在数据库中。

我学会了不要将密码存储为明文。主要原因是,潜在的攻击者可以在用户使用相同密码的其他系统(如 facebook)上使用密码。

apiKeys 不是这种情况,因为它们是由 API 本身生成的,唯一的价值是授予对数据库的访问权限。如果攻击者做到了那么远,他就已经可以访问了。

话虽如此:如果我将 api Keys 存储为明文,我做错了吗?

4

1 回答 1

1

我认为以明文形式存储这样的密钥没有任何问题,但是如果您对其进行加密,它将增加额外的安全层。如果有人闯入您的服务器并从您的数据库中读取明文密钥,他们可以使用这些密钥访问您的 API。如果加密密钥对攻击者没有用处。

于 2012-04-06T08:24:31.263 回答