Лучший способ хранения/обработки пользовательского API-ключа и секретов?

Question

Я разрабатываю приложение, которое рассчитывает на доступ к нескольким API, которым нужны определенные учетные данные пользователей, которые предоставляются, когда пользователь разрешает доступ через OAuth. Я новичок в разработке таких программ, и я пытаюсь обернуть вокруг себя самый простой способ сделать это. Вот что я имел в виду:

• В процессе OAuth указываю обратного вызова URL (назовем его А)
• Создать POST маршрут для URL-адреса A, который указывает на функцию в контроллере пользователя
• Затем эта функция анализирует данные JSON с помощью API Key + Secret, хэширует данные и сохраняет их в столбце таблицы пользователя.

Будет ли это лучшим способом для этого?

Answer 1

Одна вещь, я скажу, не привязывает их непосредственно к вашим пользователям. Иногда пользователи могут авторизовать несколько учетных записей, и иногда несколько пользователей могут разрешать одну учетную запись. Поскольку у вас может быть только один активный токен обновления для каждой учетной записи, эти кредиты должны храниться в отдельной таблице, а затем привязаны к множеству для удобства.