Меню
Что нового?

Вопрос безопасности хранения Токенов.

Dzen

Dzen

Новичок
Добрый день,
Работая с различными системами по API, нам выдаётся индивидуальный Токен.
Есть ли базовые рекомендации, где и как лучше его хранить на сервере хостинга, чтобы обеспечить максимальную безопасность?
Соединения с сервисами происходит по https.
Сам Токен лучше в отдельный php файл скинуть и за зендить, и инклудить где нужно?
 
Hello

Hello

Новичок
На хостинге\vps забудь про безопасность. Админ всегда может всё узнать.
Если нужно запутать - храни в базе и шифруй.
 
  • Like
Реакции: Dzen
Dzen

Dzen

Новичок
спасибо.
А большая ли разница будет, если хранить в базе и шифровать, или просто за зендить весь код в котором будет и сам токен?
Ведь в базе-то хоть и зашифровано будет лежать, но для админов вообще открыто, дешифруй и всё.
А если в сам файл зашить и под зендом, то еще раззендить надо же.
Правда передача всё равно будет идти через https, не силён в https, возможно там всё равно будут видна передача данных.
 

MiksIr

miksir@home:~$
Если зендить, то весь код работающий с ключем. Иначе банальная закладка его раскроет. Ну и погуглить про раззендивание. А то внезапно окажется, что это дело 5 минут.

Но первое, что нужно проверить - не защищен ли ключ уже методом неуловимого Джо.
 
  • Like
Реакции: Dzen
Dzen

Dzen

Новичок
MiksIr написал(а):
Иначе банальная закладка его раскроет.
Нажмите для раскрытия...
так это так же если и зашифрованный токен хранить в базе. Алгоритм расшифровки же вот он у нас, в пхп файле. Какой смысл тогда в хранении в базе в шифрованном виде. Это с таким же успехом наверно можно хранить просто внутри пхп файла.

Но первое, что нужно проверить - не защищен ли ключ уже методом неуловимого Джо.
Нажмите для раскрытия...
Гуглю, не найду, это как?
У сервисов есть привязка кстати, к IP с которых совершается обращение к API, т.е. можно хостинг/vps привязать. Чтобы если что, знать более конкретно, с кого спрос.
 

MiksIr

miksir@home:~$
Dzen написал(а):
так это так же если и зашифрованный токен хранить в базе. Алгоритм расшифровки же вот он у нас, в пхп файле. Какой смысл тогда в хранении в базе в шифрованном виде. Это с таким же успехом наверно можно хранить просто внутри пхп файла.
Нажмите для раскрытия...
Совершенно верно.



Dzen написал(а):
Гуглю, не найду, это как?
Нажмите для раскрытия...
Ну как же, "метод неуловимого Джо", гугл, первая ссылка.
 
Войдите или зарегистрируйтесь для ответа.
Сверху