我正在将付款网关集成到我们的应用程序中。我在他们的网站上有一个带有API密钥和密钥的帐户。
我们的应用程序的用户是子商家。他们将在支付网关网站上获得自己的带有API密钥和密钥的帐户。当我请求他们的支持时,他们说主帐户(我们的帐户)无法访问我们应用程序用户的api和密钥,我们将不得不从用户那里获取它。
我们是将在应用程序用户的支付网关网站上添加子商家并创建帐户的人。因此,我们将可以访问每个用户的api密钥和秘密密钥。
我们将必须在数据库中保存每个用户的api密钥和秘密密钥。我的问题是是否应该从Web服务调用的前端完成。我们应用程序的管理员登录名将输入每个用户的api密钥和秘密密钥,并将其保存到我们的数据库中。
从前端保存密钥是安全的,还是有其他方法可以将其保存到数据库中。
答案 0 :(得分:0)
这是一个有趣的问题,有几种方法可以实现您想要的。这是我的建议。
如果整个应用程序都受到TLS的保护,而我认为这将主要是保护我(我的意思是不仅拥有HTTPS,而且还拥有TLS从数据库到后端),那么请采用从前端输入,并将其保存到数据库中,但是在保存之前,请使用任何好的加密方法对其进行加密,然后将密钥保存到数据库中。用于此加密的密钥(这不是密钥,而是用于加密和解密密钥的另一个密钥)必须是环境变量。如果数据库被黑客入侵或开始泄漏,这也将对您有帮助。