Я создаю приложение для торговли акциями, которое использует Alpaca API.Я не хочу хранить имя пользователя / пароль пользователя или ключ / секрет API, чтобы избежать проблем безопасности, связанных с хранением таких ценных учетных данных в моей собственной размещенной БД.
Моя мысль - хранить токен API локальнонапример, зашифрованные в локальном хранилище или с их отпечатками пальцев, а затем передавать его вызову API (через HTTPS) каждый раз, когда требуется операция.API на стороне сервера будет использовать токен, но ничего не хранить.
Мне кажется, это более безопасно, поскольку ключ / секрет никогда не покидает клиента, и только токен передается по зашифрованному каналу.В случае взлома данных это будет устройство, а не вся БД всех учетных данных.
Я очень хочу услышать мысли сообщества.