Как правильно хранить логин и пароль для использования с API?

Question

ikutin @ikutin

Как правильно хранить логин и пароль для использования с API?

Есть сервис, где пользователь регистрируется, у этого сервиса есть свои API, API привязываются к этому пользователю, по-этому при каждой отправки запроса требуется передавать логин и пароль в открытом виде, со стороны сервиса нет никакой доп защиты, как правильно хранить этот логин и пароль на стороне сервера?

Вопрос задан более трёх лет назад
799 просмотров

Комментировать

Подписаться 2 Средний Комментировать

Решения вопроса 1

11 комментариев

abmanimenja @abmanimenja

Зачем так сложно?
OpenID - имеет смысл тогда, когда сервер аутентификации/авторизации - отдельное ПО.

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, вообще не играет роли отдельное или нет. Можно вообще взять сервис такой как Auth0. Это не сложно, это куба проще, безопаснее и позволяет сосредоточиться на разработке фич, вместо прокрастинации

Написано более трёх лет назад
abmanimenja @abmanimenja

вообще не играет роли

Ну как не играет?
Зачем вы предлагаете создавать ненужную сложность на пустом месте?

Написано более трёх лет назад
ikutin @ikutin Автор вопроса

это все подразумевает некую авторизацию, но авторизации так таковой нет, есть просто логин и пароль от его учетной записи
Ситуация: требуется разработать форму поиска для сайта, которой могут пользоваться все в частности не авторизированные пользователи, но все запросы API происходят используя логин и пароль хозяина сайта

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, это не ненужная сложность и даже не сложность, а разделение ответственности. Не буду говорить про "а я что раз так делал", но все кто слушал этого совета остались только довольны

Написано более трёх лет назад
Иван Шумов @inoise

ikutin, вы путаете авторизацию и аутентификацию

Написано более трёх лет назад
ikutin @ikutin Автор вопроса

Иван Шумов, авторизация-это ввод логина и пароля
аутентификация-это определение кто вошел в систему вроде так, может я что то путаю
по сути мне наверно нужен второй вариант без авторизации

Написано более трёх лет назад
Иван Шумов @inoise

ikutin, аутентификация это определение (в вашем случае по паролю) кому принадлежат логини и пароль и верны ли они, а авторизация это проверка разрешено ли этому клиенту выполнять данную операцию

Написано более трёх лет назад
ikutin @ikutin Автор вопроса

тогда выходит мне нужна авторизация но без ввода логина и пароля, и без куков
сейчас это пока, что реализовано это так, есть логин и пароль они прописаны в скрипте php, пользователь на сайт нажимает на кнопку поиск, скрипт запускается выполняется API где передаются логин и пароль возвращается информация и показывается пользователю, меня такой способ смущает, что это все в открытом виде, если злоумышленник хакнет сервер то сможет через этот скрипт получить доступ к логину и паролю, вот это меня и смущает, и как можно повысить устойчивость этой системы?

Написано более трёх лет назад
Иван Шумов @inoise

ikutin, во-первых ssl, во-вторых OpenId/OAuth2 потому как они обеспечивают токен, который живёт ограниченое время. + Вы получаете отдельный сервис в котором проверяется логин и пароль. Подумайте про это внимательнее, посмотрите ролики и почитайте статьи. Да и вообще, "взломали сервер" это вообще другого уровня проблема

Написано более трёх лет назад
Дмитрий @dlnsk

ikutin, Если API ваш собственный, то просто уберите аутентификацию для поиска (раз уж он должен быть доступен для всех).

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

18 комментариев

Иван Шумов @inoise

Человек пока не умеет в токены)

Написано более трёх лет назад
abmanimenja @abmanimenja

Иван Шумов, это же проще пароля

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, нет) прочитайте про OAuth2, OpenId и все такое

Написано более трёх лет назад
abmanimenja @abmanimenja

Иван Шумов,
нет) прочитайте про OAuth2, OpenId и все такое

По моему вам нужно почитать ликбез.

Токен - это проще пароля.

То о чем пишете вы - это целая система накрученная поверх идеи токенов.
Для данной задачи - это не нужно.

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, вас стоит прочитать про безопасность и ротацию токенов

Написано более трёх лет назад
abmanimenja @abmanimenja

Иван Шумов,
вас стоит прочитать про безопасность и ротацию токенов

а за свой счет готовы сделать эти ненужные работы?

зачем в простейший сервисах накручивать уровень безопасности "как в банке"?

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, успехов вам так дальше и думать. Это не стоит ничего, кроме отдельной слабенькой виртуалки.

Написано более трёх лет назад
abmanimenja @abmanimenja

Иван Шумов,
успехов вам так дальше и думать. Это не стоит ничего, кроме отдельной слабенькой виртуалки.

В смысле?
Вам за эту работу и платить не потребуется?

Вы, будучи джуном, еще не понимаете просто.

Ротация токенов нужна в заведомо недружелюбной среде.
Навроде веба.

Если обращение по API идет, скажем, из другой банковской системы - то токен может и годами жить.

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, простите, мне надоело. В банковской среде другие правила игры и другие требования к безопасности. Там с этим все хорошо, но токены все-равно ротируются.

Написано более трёх лет назад
abmanimenja @abmanimenja

Иван Шумов,
простите, мне надоело.

Ваши знания настолько поверхностны, что вы не способны вести дискуссию?
Видимо, вы понахватались верхушек знаний, но не понимаете еще о чем речь.
Учитесь, джун, учитесь.
В ИТ учатся вечно.

Написано более трёх лет назад
abmanimenja @abmanimenja

Иван Шумов,
В банковской среде другие правила игры и другие требования к безопасности. Там с этим все хорошо, но токены все-равно ротируются.

Это называется "слышал звон, но не понял о чем он".
Перечитайте еще раз внимательно то, что вы рекомендовали - и об JWT и об oAuth.

Это для распределенной аутентификации/авторизации в недоверенной среде.
Когда сервер аутентификации/авторизации - отдельный.

Подходит для соцсетей и крупных проектов типа Гугля.
Ну и проектов с претензией на глобальность, которые надеются, то их аутентификация будет кому-то нужно кроме их самих.

Зачем делать распределенную систему если у тебя небольшой проект?
Ресурсы девать некуда?
Или ваше время бесплатно?

В единой неделимой среде - ничего это не нужно - ни oAuth, ни JWT

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, проекты, которые так начинаются в будущем, при развитии, вынуждены быть переписанными. Зачем делать работу дважды?

Написано более трёх лет назад
abmanimenja @abmanimenja

Иван Шумов,
проекты, которые так начинаются в будущем, при развитии, вынуждены быть переписанными. Зачем делать работу дважды?

Если взлетит высоко - перепишут.
Быть переписанным - это нормально. Позволяет подстроится под изменившиеся бизнес-процессы.

А вот если не взлетит (большинство, кстати)? Зачем вкладывать ненужные ресурсы времени разработчиков?

Бизнесу нужно здесь и сейчас.
Время = деньги.

Бизнесу не нужен супер-пупер проект на все случаи жизни, который стоит дороже, делается дольше и все равно в котором не возможно предвидеть всё на будущее.

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, полтора часа времени на все про все это дорого, вы считаете?

Написано более трёх лет назад
abmanimenja @abmanimenja
Иван Шумов,
полтора часа времени на все про все это дорого, вы считаете?

Эксплуатационные расходы вы не закладываете?

Вы в курсе, что чем больше у системы компонентов, тем она менее надежна?

Вы будете это делать бесплатно?

И не только это - вы слишком разбрасываетесь своим временем: полтора часа времени тут, полтора часа времени там... так и набегают целые дни ненужной работы.
Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, извините, у меня фэйспалмы закончились. Поддержка такого решения куда дешевле чем самопала

Написано более трёх лет назад
abmanimenja @abmanimenja

Иван Шумов,
извините, у меня фэйспалмы закончились. Поддержка такого решения куда дешевле чем самопала

Если это решение нужно - то да.

Иначе - лишняя сложность, затраты на которую не заканчиваются установкой готового ПО сервера аутентификации/авторизации.

Написано более трёх лет назад
Иван Шумов @inoise

abmanimenja, 1:1. В принципе, оба правы. Мы оба не знаем что там за приложение и не в курсе о его будущем. Могут быть разные исходы, но человек поднял вопрос о безопасности, а это то что самостоятельно сделать куда дороже

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

API

+1 ещё

Простой
Как правильно обработать и вставить массив app scripts?
- 1 подписчик
- 3 часа назад
- 14 просмотров
1

ответ
Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- вчера
- 97 просмотров
2

ответа
Windows Server

+2 ещё

Средний
Как запретить смену пароля на определенных учетных записях в AD?
- 1 подписчик
- 17 апр.
- 76 просмотров
1

ответ
Веб-разработка

+1 ещё

Простой
Как правильно в api реализовать систему уведомлений на сайт и в тг бота?
- 4 подписчика
- 14 апр.
- 1077 просмотров
2

ответа
Windows

+2 ещё

Простой
Как получить хендл без OpenProcess?
- 1 подписчик
- 11 апр.
- 110 просмотров
1

ответ
Telegram

+1 ещё

Средний
Почему my.telegram.org/apps не дает создать доступ из-за ошибки — ERROR?
- 1 подписчик
- 09 апр.
- 81 просмотр
0

ответов
PHP

+2 ещё

Средний
Как правильно сделать синхронизацию чатов телеграм бота с ОЛ?
- 1 подписчик
- 09 апр.
- 89 просмотров
0

ответов
Информационная безопасность

+4 ещё

Простой
Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?
- 1 подписчик
- 07 апр.
- 82 просмотра
0

ответов
Windows

+4 ещё

Средний
Как исключить Извещение безопасности Microsoft Outlook для ссылок в письмах?
- 2 подписчика
- 07 апр.
- 212 просмотров
1

ответ
API

+2 ещё

Простой
Не существует ли рабочих card2card с предзаполненными данными получателя?
- 1 подписчик
- 07 апр.
- 67 просмотров
0

ответов
Показать ещё Загружается…

Intern System Analyst

Media Code

До 30 000 ₽

Разработчик React JS

Toro Pro Consulting

До 250 000 ₽

Ведущий системный аналитик

СберТех • Москва

от 270 000 ₽

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Разработать формирование УПД на Java

20 апр. 2024, в 00:28

20000 руб./за проект

Answer 1 · 2019-04-13 17:59:35

Используйте openId с jwt токенами. И будет вам счастье. А что касается хранения то я бы посмотрел в сторону keycloak. Хранится все в шифрованном виде, но отдается нужному пользователю в нормальном