Хранение ключа API

Question

Я создаю веб-сайт с платной системой, работающей с moll ie API. В частности, веб-сайт должен отправить пользователям ссылку на оплату их заказанных продуктов. Чтобы выполнить sh, moll ie должен пройти проверку подлинности с помощью ключа API. Поэтому мне нужно безопасно хранить ключ API где-нибудь.

Итак, моя идея заключается в использовании шифрования AES Symmetri c шифрования, когда администратор регистрирует свой ключ API (CMS). С этим шифрованием мне нужен только один ключ для расшифровки и шифрования API-ключа. Я думал об использовании в качестве ключа простого текстового пароля администратора, потому что я не храню это значение (у меня есть sh пароли), поэтому оно доступно только тогда, когда администратор вводит свой пароль. Поэтому, когда администратор хочет отправить платеж пользователю, веб-сайт спросит его пароль.

Итак, мой вопрос: это безопасный способ хранения ключа API?

Извините за мой плохой английский sh, это не мой родной язык.

Answer 1

Во-первых. Секреты и пароли API имеют разные жизненные циклы (правила ротации ключей и смены пароля) и, возможно, разные требования к сложности.

Во-вторых, открытый пароль администратора не должен использоваться ни для чего, кроме входа в систему администратора. Не делайте ' t положите все свои яйца в одну корзину - вы хотите ограничить размер ущерба в случае взлома секрета.

Было бы лучше просто создать отдельный секрет для шифрования / дешифрования ключа API и сохранить его в некотором секретном управлении, например, в Vault, AWS secrets и т. д. c.

. Если вы хотите вообще не хранить ключ API, и у вас все в порядке с администратором, просто запомнившим его, тогда вы можете иметь администратор вручную вводит секрет, как второй пароль, но в любом случае было бы плохой практикой связывать его с паролем для входа администратора.