Почему Auth0 "Client Secrets" не односторонне хешируется (с солью)?

Question

При использовании API управления Auth0 меня удивило, что client_secret включается при запросе /api/v2/clients/{id}: API doc .

Я бы ожидал, что такая информация не будет запрашиваемой, и что она будет хешироваться. Потому что это не так, кажется, что-то я не понимаю в безопасности паролей API. Может быть, это концептуально отличается, когда вы можете повернуть только секрет? Потому что тогда вы не рискуете повторно использовать пароль со случайно сгенерированной строкой. Или причина в чем-то еще?

Answer 1

Секреты назначаются Auth0 по умолчанию. В результате администратору арендатора необходимо иметь доступ к секрету через панель управления или API управления.

При этом API управления является мощным инструментом, и доступ должен предоставляться только доверенным лицам. клиентов. Кроме того, рамки должны быть максимально узкими для этих клиентов. Предоставление чтения / обновления: клиентская область должна выполняться с предубеждением.