Я искал в Интернете и нашел много ответов о том, как хранить учетные данные API PayPal (используемые в Paypal Express Checkout). Они говорят, что учетные данные нужно хэшировать с помощью соли. Но я не понимаю, как и где хранить соль. Если они получат доступ к соли, не могут ли они просто отключить учетные данные? Мне это кажется не очень безопасным. Они говорят, что не нужно жестко кодировать учетные данные API, но любой другой способ по-прежнему кажется уязвимым. Спасибо, что нашли время посмотреть на мои вопросы. Буду очень признателен за помощь.
Их хеширование не имеет большого смысла, потому что по определению, как только вы что-то хешируете, вы не можете его вернуть (расшифровка невозможна, но вы можете взломать хеш с помощью радужной таблицы или грубой силы). Обычно, если вы солите хеш, вы сохраняете соль вместе с хешем, чтобы можно было что-то сравнить с хешем; единственное, что делает соль - это затрудняет радужные атаки.
Я предлагаю хранить их в файле, который каким-то образом ограничен (например, доступен для чтения только root). Затем ваша служба оформления заказа сможет прочитать файл перед отказом от привилегий, аналогично тому, как обычно обрабатываются сертификаты X.509.
Их жесткое кодирование обычно довольно уязвимо; это означает, что если по какой-либо причине кто-то может видеть ваш источник, у него есть учетные данные (например, если обработчик установлен неправильно).