-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Как бы токен хранить?
- Автор темы Dzen
- Дата начала
@AnrDaemon, array-filter strrev
@Dzen, если финансы, то хранить наиболее безпасно токены на другом сервере, лучше всего на Яндекс Директ.
@Dzen, если финансы, то хранить наиболее безпасно токены на другом сервере, лучше всего на Яндекс Директ.
Последнее редактирование:
Dzen
Новичок
как это?? у них же для клиентов нет серверов.
ни раз слышал такое, спасибо, а логику не подскажите, как лучше это организовать?
+ хранение на другом сервере, ведь это лишнее подключение делать, а значит будет лишнее звено, риск не повышается в этом плане?
Dzen
Новичок
@Hello, как же может быть общение с ЯД через микросервис, если доступ будет закрыт из интернета? или ограниче доступа по IP делать?
который необходимо передать на сервер Яндекса или Гугла, для успешной авторизации приложения.
он всегда один и тот же в рамках одного аккаунта
но само собой разный в разных аккаунтах
на отстранённом примере:
допустим у нас есть 10 чужих сайтов, у которых устарновлен Google Analytics. Там хранятся данные статистики по сайтам.
Пишем приложение, которое будет подключаться к Google Analytics и забирать нужные нам данные и выводить в том визуальном формате, в котором нам нужно.
Мы можем руками заходить в 10 аккаунтов Аналитикса, брать нужные данные, и руками опять что-то из них собирать.
А можем написать приложение, и подключиться к 10 разным аккаунтам, использую 10 разных токенов.
Следовательно их нужно где-то безопасно хранить.
Если речь касается о финансовых сервисах Яндекса и т.д., то тем более их надо как-то безопасно хранить.
хранить на том же сервере что и приложение (скрипт), на мой взгляд глупо.
но хранить на удалённом сервере, при том что будет всё равно идти подключение между серверами и эти токены будут перебрасываться как-то, тоже странный способ.
токен это типа пароля, набор знаков: 6d1............................................0be
который необходимо передать на сервер Яндекса или Гугла, для успешной авторизации приложения.
он всегда один и тот же в рамках одного аккаунта
но само собой разный в разных аккаунтах
на отстранённом примере:
допустим у нас есть 10 чужих сайтов, у которых устарновлен Google Analytics. Там хранятся данные статистики по сайтам.
Пишем приложение, которое будет подключаться к Google Analytics и забирать нужные нам данные и выводить в том визуальном формате, в котором нам нужно.
Мы можем руками заходить в 10 аккаунтов Аналитикса, брать нужные данные, и руками опять что-то из них собирать.
А можем написать приложение, и подключиться к 10 разным аккаунтам, использую 10 разных токенов.
Следовательно их нужно где-то безопасно хранить.
Если речь касается о финансовых сервисах Яндекса и т.д., то тем более их надо как-то безопасно хранить.
хранить на том же сервере что и приложение (скрипт), на мой взгляд глупо.
но хранить на удалённом сервере, при том что будет всё равно идти подключение между серверами и эти токены будут перебрасываться как-то, тоже странный способ.
Dzen
Новичок
А пользователь один.
Токенов много.
А каким образом лучше зашифровать, и где хранить? т.е. например, хранить в базе mysql уже зашифрованный токен, а внутри скрипта расшифровывать его. Это имеется ввиду?
Dzen
Новичок
благодарю.
только получается, что скрипт должен уметь расшифровать, а если у злоумышленника окажется доступ к исходнику, то и шифровка бесполезна
пришла еще идея, хранить токены вообще на другом сервере в файле, но при каждом обращении с сервера (А) где скрипт, на сервер (Б) где файл с токенами, чтобы имя файла было всегда разным.
То есть, после каждого обращения к файлу с токенами, генерируется новое имя файла на сервере (Б).
При этом скрипт на сервере (А) знает по какому алгоритму генерируется это имя, и второй раз запрашивает уже иное имя файла, основываясь на том, какой основной пароль ввёл пользователь для входа в скрипт, а пароль для входа в скрипт каждый раз всегда разный.
Т.е. с одной стороны, таким образом, мы усложняем понимание злоумышленника на тему "а где вообще хранятся все токены". Достаточно запутанно будет. Но с другой стороны, видя исходник на сервере при его взломе или админами, в принципе тоже могут понять алгоритм.
Хотя может это всё слишком мудрёно, и можно еще проще :-\
только получается, что скрипт должен уметь расшифровать, а если у злоумышленника окажется доступ к исходнику, то и шифровка бесполезна
пришла еще идея, хранить токены вообще на другом сервере в файле, но при каждом обращении с сервера (А) где скрипт, на сервер (Б) где файл с токенами, чтобы имя файла было всегда разным.
То есть, после каждого обращения к файлу с токенами, генерируется новое имя файла на сервере (Б).
При этом скрипт на сервере (А) знает по какому алгоритму генерируется это имя, и второй раз запрашивает уже иное имя файла, основываясь на том, какой основной пароль ввёл пользователь для входа в скрипт, а пароль для входа в скрипт каждый раз всегда разный.
Т.е. с одной стороны, таким образом, мы усложняем понимание злоумышленника на тему "а где вообще хранятся все токены". Достаточно запутанно будет. Но с другой стороны, видя исходник на сервере при его взломе или админами, в принципе тоже могут понять алгоритм.
Хотя может это всё слишком мудрёно, и можно еще проще :-\