もちろん、パスワードはハッシュされ、元のパスワードは保存されないので、愚かな質問のように聞こえるかもしれません。API秘密はハッシュされるべきですか?
しかし、APIの秘密については、一般的に私はそれらをサインアップするときに明確に表示されます。
たとえば、Googleのapiコンソールにアクセスして自分の認証情報ページを見ると、クライアントの秘密情報をTwitterで見ることができます。
確かに、apiキーはパスワードと同じように敏感ですか?
プロバイダ側からは、十分に強力なパスワードが生成されていると確信できますか? これが当てはまる場合、データベースが侵害されているかどうかは保護されません。
トークンベースの認証を使用している場合は、クライアントのIDとシークレットまたはリフレッシュトークンを使用して資格情報を送信する必要がありますすでに妥協されていなければならないのか?
ありがとうございました。私にとっては、クライアントの秘密情報は機密情報であるため、常にハッシュすることを選択します。 これは明らかにAWSがこれを行っている(または間もなくなります)ので、私はそれがおそらく良いアイデアだと思う唯一の人ではありません:) あなたが言ったように、私はGoogleとTwitterはハッシュをユーザビリティの理由から考えて、ユーザベースを考えればそれはいくらか理解できる(しかし、彼らの大きさでさえ私は好まないだろう)。 モバイルクライアントについての良い点は、javascript apis(クライアント上の秘密が制御できなくなっている)にも当てはまります。 – Steviebob