In che modo le grandi aziende conservano le chiavi API?

4

Quando FaceBook o Google mi forniscono una chiave API, la stanno semplicemente archiviando in un database?

Diversamente da una password, in cui è possibile eseguire l'hash e saltarlo prima di inserirlo nel database, mi sembra che una chiave debba essere archiviata così com'è (o in una forma reversibile) in modo che possano fornirla me su richiesta.

La mia preoccupazione è con l'archiviazione di informazioni immediatamente utilizzabili nei miei database.

Capisco che il metodo esatto utilizzato da queste aziende sia solo speculazione, a meno che tu non sia un ex dipendente o abbia informazioni privilegiate, ma mi chiedo se esiste una best practice più accettata.

    
posta Birrel 23.12.2015 - 14:49
fonte

1 risposta

7

Le chiavi API sono tecnicamente solo lunghe password. È del tutto possibile che un fornitore di servizi calcoli una nuova chiave, includendola in un'email, salandola, cancellandola, archiviando l'hash e quindi buttando via l'originale.

(Se lo richiedi, possono semplicemente rigenerare una nuova chiave e inviarla - chi si lamenterà? Certo che non tu, dato che hai appena dichiarato che non conosci più la vecchia chiave.)

    
risposta data 23.12.2015 - 14:58
fonte

Leggi altre domande sui tag