サード パーティ サービス用にユーザーのログイン資格情報を保存する必要があるアプリを作成しています。サードパーティ サービスとの通信は、https GET リクエストを介して行われます。
私が見てきたことから、このような投稿を見ると、これを行うためのベストプラクティスに関する明確な答えはなく、その投稿で説明されている特定の方法には、少なくとも何かが望まれています.
したがって、サードパーティのリクエストのクエリ文字列を「事前に暗号化」し、ユーザーの資格情報を直接保存する代わりに、その暗号化されたデータをデータベースに保存することで、問題を回避できるのではないかと考えました。このようにして、資格情報を暗号化された形式で保存できますが、キーは私ではなくサードパーティが保持しているため、キーが侵害される心配はありません。また、私のデータベースが侵害された場合、侵入者はパケット スニッフィングで取得できる以上の情報を取得できません。
このようなことをしている例を見つけることができないので、コミュニティがそれが合理的なアプローチであると考えるかどうかについてフィードバックをお願いします. それを超えて、それを正確に行う方法についての少しの助けは素晴らしいでしょう. 私は node.js/express でアプリを構築しています。現在、https モジュールを使用してサードパーティとの通信を処理していますが、明らかにこれを行うには、より低いレベルで行う必要があります。アプローチ。
基本的なプロセスは次のとおりです。
- サードパーティへの ssl/tls 接続を確立し、ユーザーの資格情報を含むクエリ文字列を暗号化するために、https.request と同じことを行います。
- 暗号化されたデータを実際にサードパーティに送信することをやめ、代わりに自分のデータベースに保存します
- 後で、保存されたデータを使用して https 接続を「再構築」し、それをサードパーティに送信し、応答を処理し、勝ちます