C'era una domanda simile che ho trovato che è stata posta nella migliore metà di un decennio fa " Va bene se il segreto dell'API è archiviato in testo normale o decifrato? ", ma la maggior parte delle risposte sembrano girare attorno agli schemi di sicurezza dell'API in cui il segreto viene usato come chiave, ad esempio per produrre un hash, nel qual caso la risposta è ovviamente che è necessario avere una copia completa disponibile.
Tuttavia, esistono altri schemi API, ad esempio, se osserviamo Stripe, puoi vedere che in pratica il segreto viene utilizzato come password nell'intestazione di una richiesta:
Non ho una visione particolare di come funziona Strip, ma c'è ovviamente un certo livello di prestazioni se si consente che ci siano più chiavi API attive supponendo che si usi uno schema di hashing ragionevole.
Ora posso pensare a un modo per evitare questo (come includere nella chiave una sorta di identificatore che può essere usato per ritirare la versione specifica dell'hash), ma sembra che non sia stato fatto qui.
Quindi, c'è qualche ragione per cui non avresti bisogno di hash questi dati? Sembra che sia tanto importante quanto qualsiasi password, con forse l'eccezione al fatto che sai che non viene riutilizzato su altri siti web.