Clave API en microservicios

Navega tus respuestas
1

¿Es una buena idea enviar una cadena de conexión cifrada como clave de API a través de los encabezados?

Alguien me dijo una vez que almacenar las claves de API en una base de datos es algo malo, pero parece que no entiendo cómo, cuando al final todo lo que tiene que hacer un atacante es usar el Fiddler para verificar los encabezados que eres enviando solicitudes para la clave API.

La razón por la que quiero almacenar las claves de API en una base de datos es porque quiero crear un portal para que los usuarios puedan ver las claves de API para servicios específicos de mi aplicación de microservicio. De este modo, la clave API se puede leer en texto simple.

    
pregunta KTOV 14.10.2018 - 15:49
fuente

1 respuesta

0

Para la mayoría de los propósitos y propósitos, es bueno pensar en una clave API como una combinación de nombre de usuario / contraseña. La razón por la que generalmente no está bien almacenar las claves de API en la base de datos en un formato reversible es porque si su base de datos se rompe, es posible que un atacante obtenga acceso a todas las claves de API almacenadas en la aplicación y se haga pasar por otros usuarios. .

Mostrar a los usuarios sus claves API en texto sin formato es básicamente lo mismo que mostrarles sus contraseñas en texto sin formato. Una alternativa más segura podría ser simplemente permitirles restablecer sus claves API y no mostrarles cuál era la clave original.

    
respondido por el user52472 16.10.2018 - 00:02
fuente

Lea otras preguntas en las etiquetas

¿Cómo determinar quién desactivó el registro de seguridad en mi servidor de Windows? Cómo crear un keygen [cerrado]