Melhores Práticas para descanso segredo compartilhado Valor
-
11-09-2019 - |
Pergunta
Eu estou usando uma API REST que usa OAuth para autenticação. Ao registrar para o serviço I deu meu API Key Consumidor e minha API segredo compartilhado. Eu tenho simplesmente codificar o segredo compartilhado em meu código de aplicativo e compilá-lo.
Esta é a melhor maneira de gerenciar um segredo compartilhado? Ou seja, existem implicações de segurança? isso deve ser criptografada, de alguma forma? Quais são as melhores práticas para a gestão deste segredo compartilhado?
Solução
Depende um pouco sobre onde o código está sendo executado.
No seu caso um hacker precisaria roubar sua dll, e ler a chave do dll.
Isto é melhor do que armazenar a chave em um arquivo de configuração em texto simples.
Você pode armazenar a chave ecrypted em um banco de dados, com as informações sobre como decifrá-lo em sua dll. Dessa forma, um hacker teria que tanto roubar sua dll e informações do seu banco de dados.