Sto giocando con l'idea di creare un sito web per criptovalute, dove un utente può registrarsi sul mio sito web, inserire i dettagli API per uno dei mercati di scambio che sosterrò, il che gli consente di negoziare in quella borsa , ma usando la mia interfaccia web "più user friendly".
Il mio obiettivo principale è creare un'interfaccia più intuitiva di quella che offre la maggior parte dei siti di scambio. Non sto agganciare direttamente a nessuna criptovaluta o portafogli, tutto quello che faccio è usare l'API dei mercati valutari esistenti, inoltrare le informazioni al mio sito web, dove ho un'interfaccia più user-friendly.
Poiché questo è un argomento molto delicato per quanto riguarda la sicurezza, sto cercando di capire quale sarebbe il modo migliore per memorizzare i dettagli dell'API degli utenti. In generale non mi piace l'idea di archiviare i dettagli dell'API sul mio server di database, né sul mio server in generale. Il pensiero di aver hackerato il mio sito Web e di aver esposto tutti i dettagli dell'API è terrificante. Ovviamente ogni sito Web di scambio che supporta le API ha la propria sicurezza integrata, come sessioni API con 2FA, restrizioni IP, generazioni settimanali di nuove chiavi segrete API, limiti di trading giornalieri tramite API e non consentendo prelievi di portafogli tramite API. Ma i danni possono ancora essere fatti se questi dettagli API vengono rubati.
Preferirei se ci fosse un modo in cui non avrei bisogno di memorizzare i dettagli API sul mio server, ma piuttosto che l'utente li salvi localmente sul suo PC. In questo modo è incaricato di proteggere i dettagli dell'API.
Questo pensiero mi ha portato quindi all'idea di creare un'app desktop usando l'elettrone ( link ). In questo modo posso comunque creare il sito web nel modo che preferisco, ma è avvolto nell'elettrone, quindi funziona sempre localmente. Prima di perseguire questa idea, vorrei continuare a indagare sulla mia precedente idea di un normale sito web, poiché preferisco avere il mio sito web basato sul cloud, SaaS, per prevenire la pirateria.
Quindi mi chiedo, memorizzando i dettagli API di un utente, senza salvarli sul server, quali altre opzioni avrei? Biscotti? Probabilmente non sicuro. Che dire di localStorage? link
Ci sono altre opzioni o sono troppo paranoico per questo? È generalmente accettato di archiviare dettagli API sensibili su un server di database insieme al resto dei dettagli degli utenti?