问如何安全地存储通过客户端提交的用户API密钥

EN

API密钥基本上是一个密码。因此，像TLS运输这样的通常保护措施(即使用HTTPS)应该是足够的。

是的，因为这需要清晰的文本恢复，所以在你的手中就少了。

• 仅使用https严格执行此操作。
• 执行额外的字段“请求域”，这样只有yourapp.com才能在被盗时使用
• 只使用POST永不获取(避免日志/历史记录)
• 使用输入type=password，使其显示为*
• 防止用户也恢复/相反，强迫他们获得新的(停止泄漏的工作人员)
• 建议用户设置较短的过期时间

我不确定我是否会像我说的那样设置对称加密，这不一定是您的问题，但是可以很容易地撤销密钥:)也许将它存储在浏览器加密的存储中，但这将不能运行服务器到服务器。

今天，大多数API使用API密钥对web服务的合法客户端进行身份验证。从客户端的角度来看，API密钥的使用非常简单：

• 您可以从服务获得一个API密钥(本质上是一个共享的秘密)。
• 将密钥添加到授权头。
• 调用API。

有几种保护API密钥的方法，如：

1. 加密:因为后端有控制，所以可以实现从前端到后端的加密/解密方法。您可以放置一个解密有效负载的中间件。client ->加密-body -> api ->控制器(中间件解密体) -> db
2. 使用HTTPS:通信将被加密，MITM攻击将无法工作。
3. 使用POST而不是获得请求
4. 使用JWT作为REST的附加安全性：https://blog.logrocket.com/secure-rest-api-jwt-authentication/

我想回答你的问题

在将这些密钥从客户端发送到后端的过程中，坏角色能够通过dev工具或其他恶意方法访问这些密钥吗？

答案：

开发工具是用于开发和调试的，恶意黑客看不到任何东西，他们可以使用burpsuite看到他们在web表单上提供的内容(基本上他们不知道您的密钥)。如果您的站点没有使用HTTPS/HTTP，就会发现这一点。