هنگام ایجاد نشانه های API ، می توانید هر فرمی را که دوست دارد انتخاب کنید. بسیاری از افراد استفاده از SHA1 / SHA256 از بایت های تصادفی یا کاراکترهای تصادفی را انتخاب می کنند.
من نمی دانم که چه مقدار از مسئله امنیتی پیشوند کلید API با پیشوند "نشت" مورد استفاده است؟
به عنوان مثال اگر من می توانم از نشانه های SHA1 استفاده کنم:
'myproj-refresh -' + sha1 (random_bytes ()) . به این ترتیب که نشانه حاصله myproj-refresh-123456789321654987abcd خواهد بود.
این به من اجازه می دهد تا
- کلید API را در کد منبع سایر افراد تشخیص دهم (و آن را بی اعتبار)
- تعداد مثبت های غلط چنین نشانه هایی را به حداقل برسانم
آنچه من نگران این هستم این است که اگر این نشت می کند ، فقط یک عدد تصادفی نیست ، بلکه می تواند هر چیزی باشد ، بلکه چیزی است که معنای واضحی دارد. این یک نشانه تازه برای "پروژه من" است.
فکر می کنید این یک تجارت سودمند است یا باید از آن جلوگیری کرد؟
