接受身份验证令牌作为参数是否安全?

【问题标题】:Is accepting auth tokens as parameters secure?接受身份验证令牌作为参数是否安全?
【发布时间】:2019-08-30 03:32:59
【问题描述】:

我正在创建一个使用 Alpaca API 的股票交易应用程序。我不想存储用户的用户名/密码或 API 密钥/秘密,以避免将此类有价值的凭据存储在我自己的托管数据库中的安全问题。

我的想法是在本地存储 API 令牌,例如在本地存储中加密或使用他们的指纹,然后在每次需要操作时将其传递给 API 调用(通过 HTTPS)。服务器端 API 将使用令牌但不存储任何内容。

我觉得这更安全,因为密钥/秘密永远不会离开客户端,并且只有令牌通过加密通道传递。如果发生数据泄露,它将针对每个设备,而不是所有凭据的整个数据库。

我非常渴望听到社区的想法。

【问题讨论】:

    标签: api security https access-token


    【解决方案1】:

    这里是羊驼首席技术官。

    Alpaca 官方问题跟踪器中有一个功能请求,要求为此用例添加 OAuth。

    https://github.com/alpacahq/Alpaca-API/issues/20

    这将解决您提到的问题,我们渴望添加它。同时,是的,您的方法也可以。这里的关键点是 API 密钥 id/secret 是一种用户/密码,所以不要以原始格式存储或暴露给客户端。

    【讨论】:

      猜你喜欢
      • 2013-02-12
      • 1970-01-01
      • 2016-12-18
      • 2017-05-18
      • 2017-04-27
      • 1970-01-01
      • 1970-01-01
      • 2015-02-06
      • 2018-06-07
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode