我正在创建一个使用Alpaca API的股票交易应用程序。我不想存储用户的用户名/密码或API密钥/密码,以避免出于安全考虑,将如此宝贵的凭据存储在我自己的托管数据库中。
我的想法是将API令牌存储在本地,例如在本地存储中或其指纹进行加密,然后在每次需要操作时将其传递给API调用(通过HTTPS)。服务器端API将使用令牌,但不存储任何内容。
我觉得这更安全,因为密钥/秘密永远不会离开客户端,只有令牌通过加密的通道传递。如果发生数据泄露,它将是每个设备而不是所有凭据的整个数据库。
我非常渴望听到社区的想法。
答案 0 :(得分:0)
羊驼毛CTO在这里。
Alpaca官方问题跟踪器中有一项功能要求,用于针对这种用例添加OAuth。
https://github.com/alpacahq/Alpaca-API/issues/20
这将解决您提到的问题,我们渴望添加。同时,是的,您的方法也可以使用。这里的关键是API密钥ID /秘密是一种用户名/密码,因此请不要以原始格式存储它或将其公开给客户端。