Ho bisogno di memorizzare le chiavi API per i miei utenti. Queste chiavi sono estremamente preziose in quanto sono utilizzate per acquistare e vendere oggetti. Alcuni utenti non vorranno dare queste chiavi a nessuno, e sto cercando di capire una soluzione migliore rispetto alla semplice memorizzazione in un database.
Sarebbe bello mantenere il controllo della chiave con l'utente. Considero di fare uno script open source che possono essere distribuiti su un server e la mia chiamata all'app o simili.
Somone ha suggerito che potrebbe essere possibile configurare un proxy per fare qualcosa senza alcun codice, ma questo è tutto al di là della mia esperienza.
Qualcuno ha altre idee?
modifica: per ulteriori chiarimenti
Il mio sistema è un'app Web. Ogni utente dà al mio sistema la sua chiave API, che consente all'applicazione web di scambiare per suo conto (comprare e vendere oggetti). L'essenza del sistema è che in determinate circostanze automatizzate il sistema vorrà negoziare per conto dell'utente.
Sto prendendo in considerazione un intervento manuale con 2FA, che a mio parere sarà abbastanza strong, ma è sub-ottimale in quanto l'utente non sarà in grado di reagire abbastanza velocemente tutto il tempo.
Considero di creare un codice partner leggero, open source, che l'utente può implementare sul proprio server da qualche parte. L'idea è che può essere verificato in modo indipendente come non dannoso e l'utente può archiviare le chiavi.
Non sono sicuro che qualcosa sia ottenuto da questo approccio oltre a un hacker che deve scoprire la posizione dello script, e anche se il mio server è compromesso, possono semplicemente inviare scambi usando il mio sistema a questo script allo stesso modo come se tutto fosse sul mio server.
Suppongo che l'idea di un server proxy sia qualcosa di simile a quanto sopra, ma qualcosa a un livello inferiore rispetto a un'app in esecuzione sul server. Temo di non avere una conoscenza sufficiente dell'amministratore del server per speculare su come potrebbe funzionare.