从UI将API密钥存储在数据库中

Question

我在我们的应用程序中集成了支付网关。我有一个帐户在他们的网站与API密钥和秘密密钥。

我们的应用程序的用户是子商家。他们将在支付网关网站上获得自己的帐户，并使用API密钥和密钥。当我询问他们的支持时，他们说主帐户(我们的帐户)不能访问我们应用程序用户的api，密钥，我们必须从用户那里获得它。

我们是谁将添加子商家，并为我们的应用程序的用户在支付网关网站创建帐户。因此，我们可以访问每个用户的api密钥和密钥。

我们必须将每个用户的api密钥和密钥保存在我们的数据库中。我的问题是，它是否应该在web服务调用的前端完成。我们的应用程序的管理员登录将输入每个用户的api密钥和密钥，并将其保存到我们的数据库中。

从前端保存密钥是否安全，或者是否有其他方法可以将其保存到数据库中。

Answer 1

这是一个有趣的问题，有几种方法可以实现你想要的。这是我的建议。

如果整个应用程序是由TLS保护的，我认为主要是(我的意思是不仅仅是HTTPS，还有从数据库到后端的TLS )，那么从前端获取输入并将其保存到数据库中，但在保存它之前，使用任何好的加密方法对其进行加密，并将密钥保存到数据库中。此加密的密钥(这不是密钥，而是用于加密和解密密钥的另一个密钥)必须是环境变量。如果数据库被黑客入侵或开始泄露，这也会帮助你们。