J'ai créé une application qui sert de pont entre deux API différentes - WebEx & Exchange Web Services - et Email. Un utilisateur envoie une invitation de calendrier à une adresse e-mail spéciale, l'application analyse le SCI et crée une réunion WebEx, puis se connecte aux services Web Exchange et place les informations d'invitation WebEx dans l'invitation d'origine.Stocker en toute sécurité les informations d'identification de l'API qui doivent être utilisées en texte brut
Ceci a été créé car WebEx n'a pas d'intégration Mac Email/Calendrier. L'inconvénient est que pour utiliser API WebEx et l'API Exchange, j'ai évidemment besoin d'informations d'identification pour les deux API. Je stocke en toute sécurité les informations d'identification avec le chiffrement AES 256 bits dans la base de données, mais pour accéder aux API, j'ai besoin d'informations d'identification en texte brut (pas de support oAuth ou token dans les API). Ils sont bien sûr transmis via SSL, bien sûr.
Le risque de sécurité n'est pas d'avoir volé les mots de passe car les clés de chiffrement sont stockées en toute sécurité. Le problème que je cherche à résoudre est le fait que les clients craignent que leurs informations d'identification d'entreprise soient stockées de manière à permettre à quelqu'un ayant accès à ces clés - moi ou quelqu'un de l'équipe de développement - de déchiffrer leurs informations et accéder aux informations d'identification. .
La valeur de l'application est grande - elle économise du temps, mais comment puis-je me protéger contre cette peur, tout en permettant à cette approche de fonctionner?
Votre serveur appelle-t-il chez lui et transmet-il les informations d'identification? Sinon, je ne vois pas pourquoi les clients penseraient que les données qu'ils saisissent et stockent sur leur appareil sont accessibles à tous. –
Les informations d'identification sont stockées, cryptées dans la base de données utilisée par l'application Web. Lorsqu'un e-mail est reçu, il est traité, puis ces informations d'identification stockées sont utilisées pour agir au nom de l'utilisateur avec les API WebEx et Exchange. –