L'hashing della chiave segreta HMAC è una buona idea?

2

Sto implementando un'API REST e ho generato chiavi API casuali a 128 bit che vengono utilizzate con HMAC-SHA1 per l'autorizzazione. Dovrei cancellare la chiave segreta sul client e sul server prima di usarla, magari con SHA1 o bcrypt? Ciò eviterebbe di memorizzare la chiave segreta in testo semplice. Tuttavia ho avuto difficoltà a trovare altre persone che lo facessero e questo mi rende sospettoso di questa idea.

  • I dati trasferiti non sono sensibili, solo la chiave API è, poiché un determinato utente potrebbe essere in grado di aggiungere dati o avviare lavori.
  • Sto principalmente cercando di impedire un facile accesso alla chiave API, sia da parte di qualcuno che sta eseguendo il server o da qualcuno che sta ascoltando.
  • Questo è un plugin per un sistema esistente che può essere installato su altri sistemi da altre persone, quindi SSL non è un'opzione.
posta noisecapella 17.03.2014 - 18:18
fonte

0 risposte

Leggi altre domande sui tag