Sto implementando un'API REST e ho generato chiavi API casuali a 128 bit che vengono utilizzate con HMAC-SHA1 per l'autorizzazione. Dovrei cancellare la chiave segreta sul client e sul server prima di usarla, magari con SHA1 o bcrypt? Ciò eviterebbe di memorizzare la chiave segreta in testo semplice. Tuttavia ho avuto difficoltà a trovare altre persone che lo facessero e questo mi rende sospettoso di questa idea.
- I dati trasferiti non sono sensibili, solo la chiave API è, poiché un determinato utente potrebbe essere in grado di aggiungere dati o avviare lavori.
- Sto principalmente cercando di impedire un facile accesso alla chiave API, sia da parte di qualcuno che sta eseguendo il server o da qualcuno che sta ascoltando.
- Questo è un plugin per un sistema esistente che può essere installato su altri sistemi da altre persone, quindi SSL non è un'opzione.