我正在为CMS实施API。
客户端通过公钥或私钥访问API(对于更敏感的数据)。他们可以使用私钥读取和写入数据库。
我将密钥(只是随机字符串)存储为数据库中的明文。
我已经学会了不要将密码存储为明文。主要原因是潜在的攻击者可以使用其他系统(如facebook)上的密码,用户使用相同的密码。
apiKeys不是这种情况,因为它们是由API本身生成的,只有值才能授予对数据库的访问权限。如果攻击者做到这一点,他已经有了访问权限。
话虽如此:如果我将api Keys存储为明文,我是否做错了什么?
答案 0 :(得分:1)
我认为用明文标记这样的密钥没有任何问题,但如果加密它会增加额外的安全层。如果有人闯入您的服务器并从数据库中读取明文密钥,他们可以使用这些密钥访问您的API。如果加密,攻击者将无法使用密钥。