Credentials
Paypal Express Checkout api 憑據 - 如何正確儲存它們?
我一直在搜尋網際網路,我想出了很多關於如何儲存 paypal API 憑據的答案(用於 Paypal Express Checkout。)他們說使用鹽對憑據進行雜湊處理。但我不明白如何以及在哪裡儲存鹽。如果他們可以訪問鹽,他們就不能取消對憑據的雜湊處理嗎?這對我來說似乎不太安全。他們說不要對 API 憑據進行硬編碼,但任何其他方式似乎仍然很容易受到攻擊。感謝您花時間查看我的問題。我真的很感激幫助。
散列它們沒有多大意義,因為根據定義,一旦你散列了一些東西,你就無法取回它(取消散列是不可能的,但你可以使用彩虹表或蠻力破解散列)。通常,如果您對雜湊進行加鹽,則將鹽與雜湊一起儲存,以便可以將某些內容與雜湊進行比較;鹽唯一的作用就是使彩虹攻擊更加困難。
我建議將它們儲存在以某種方式受到限制的文件中(例如,只能由 root 讀取)。然後,您的結帳服務可以在刪除權限之前讀取文件,類似於 X.509 證書的通常處理方式。
對它們進行硬編碼通常很容易受到攻擊;這意味著如果出於任何原因有人可以看到您的來源,他們擁有憑據(例如,如果處理程序設置錯誤)。