REST共享密码值的最佳实践

Question

我使用的REST API使用oauth进行身份验证。在注册服务时，我得到了我的API Consumer密钥和API共享密钥。我只是简单地将共享密钥硬编码到我的应用程序代码中并编译它。

这是管理共享密钥的最佳方法吗？也就是说，有没有什么安全隐患？应该以某种方式对其进行加密吗？管理此共享密钥的最佳实践是什么？

Answer 1

这在一定程度上取决于您的代码运行的位置。

在您的情况下，黑客需要窃取您的dll，并从dll中读取密钥。

这比将密钥以纯文本形式存储在配置文件中要好。

您可以将加密的密钥存储在数据库中，并将有关如何解密它的信息存储在dll中。这样一来，黑客将不得不从你的数据库中窃取你的dll和信息。