Как безопасно хранить токены API?

Question

Когда пользователь вводит свой токен API в браузере, мне нужно безопасно сохранить свой токен. Каков хороший подход к шифрованию токена пользователя?

Я предпочитаю использовать AWS Secrets Manager для хранения токена пользователя через API, но оказалось, что это действительно дорого. $ 0,40 за секрет в месяц.

Я мог бы рассмотреть возможность шифрования токена пользователя в MySQL и сохранения главного секрета в файле .env

Есть ли альтернативный подход?

Answer 1

Для вашего сценария вы можете сохранить токен AWS DynamoDB, зашифрованный в покое с помощью AWS KMS.

В дополнение к плате за лямбду AWS KMS будет стоить в основном 1 долл. США за CMK, а на основе операций шифрования и дешифрования по требованию - около 0,03 долл. США на 10 000 запросов, а бесплатный уровень будет предоставлять 20 000 запросов в месяц бесплатно.

Более подробную информацию о ценах см. В разделе Расценки AWS KMS , раздел.

Answer 2

Поскольку вы уже используете сервисы AWS, имеет смысл воспользоваться преимуществами более устойчивых облачных решений.

С помощью SSM вы платите только за базовые ресурсы AWS, управляемые или создаваемые AWS Systems Manager, однако хранилище параметров , а также большинство других служб AWS , использующих KMS для дешифрования и шифрования.

Дополнительные альтернативы:

• Кэшировать параметры SSM, например https://github.com/alexcasalboni/ssm-cache-python
• Использовать credstash (DynamodB + KMS)
• Использовать s3 с шифрованием на стороне сервера и клиента https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingEncryption.html

Исходя из вашего использования, вам нужно будет сделать математику, KMS не является бесплатной, но имеет достойный ежемесячный бесплатный уровень