Meilleures pratiques pour REST Secret partagé Valeur

Question

J'utilise une API REST qui utilise OAuth pour l'authentification. Lors de l'inscription au service, j'ai reçu ma clé de consommateur API et mon secret partagé API. J'ai simplement codé en dur le secret partagé dans mon code d'application et je l'ai compilé.

Est-ce la meilleure façon de gérer un secret partagé? Autrement dit, y a-t-il des implications en matière de sécurité? Est-ce que cela devrait être crypté d'une manière ou d'une autre? Quelles sont les meilleures pratiques pour gérer ce secret partagé?

Answer 1

Cela dépend un peu de l'endroit où votre code est en cours d'exécution.

Dans votre cas, un pirate aurait besoin de voler votre dll, et lire la clé de la dll.

Cela vaut mieux que de stocker la clé dans un fichier de configuration en texte brut.

Vous pouvez stocker la clé ecrypted dans une base de données, les informations sur la façon de le déchiffrer dans votre dll. De cette façon, un pirate devrait à la fois voler votre DLL et les informations de votre base de données.