यह मूर्खतापूर्ण प्रश्न की तरह लग सकता है, क्योंकि पाठ्यक्रम के पासवर्ड को धोने की आवश्यकता होती है और मूल को कभी भी स्टोर नहीं किया जाता है।क्या एपीआई रहस्यों को धोया जाना चाहिए?
हालांकि, एपीआई रहस्यों के लिए, आम तौर पर मैं उन्हें साइन अप करते समय स्पष्ट रूप से प्रदर्शित करता हूं।
उदाहरण के लिए, यदि मैं Google एपीआई कंसोल पर जाता हूं और अपने क्रेडेंशियल्स पेज को देखता हूं, तो मैं ट्विटर के लिए अपने क्लाइंट रहस्य को देख सकता हूं।
निश्चित रूप से एपीआई कुंजी पासवर्ड के रूप में संवेदनशील हैं?
क्या यह प्रदाता पक्ष से है, तो आप आश्वस्त हो सकते हैं कि पर्याप्त मजबूत पासवर्ड उत्पन्न किया जा रहा है? यदि ऐसा है, तो यह कोई सुरक्षा प्रदान नहीं करता है कि आपके डेटाबेस से समझौता किया गया है।
या शायद यह इसलिए है क्योंकि यदि आप टोकन आधारित प्रमाणीकरण का उपयोग कर रहे हैं, तो आप या तो पासवर्ड अनुदान प्रकार कर रहे हैं, जिसके लिए आपको क्लाइंट आईडी और गुप्त, या रीफ्रेश टोकन के साथ अपने क्रेडेंशियल भेजने की आवश्यकता है, इसलिए उपयोगकर्ता पहले ही समझौता किया गया है?
धन्यवाद। मेरे लिए, एक ग्राहक रहस्य सूचना का एक संवेदनशील टुकड़ा है, इसलिए मैं हमेशा इसे हैश करने का विकल्प चुनूंगा। मैंने पढ़ा है कि जाहिर है कि एडब्ल्यूएस अब यह करता है (या जल्द ही होगा), इसलिए मैं अकेला नहीं हूं जो सोचता है कि यह शायद एक अच्छा विचार है :) जैसा कि आपने कहा था, मुझे लगता है कि Google और ट्विटर नहीं करते हैं उपयोगिता कारणों के लिए हैश, और उनके उपयोगकर्ता आधार पर विचार करना यह कुछ हद तक समझ में आता है (लेकिन उनके आकार पर भी मैं नहीं करना चाहूंगा)। मोबाइल क्लाइंट के बारे में अच्छा बिंदु, मुझे लगता है कि यह जावास्क्रिप्ट एपिस के लिए भी सच है (गुप्त क्लाइंट पर है ताकि आप इसका नियंत्रण खो चुके हों)। – Steviebob