Existe um nome para a técnica de usar um KeyStore / KeyChain para autenticação do cliente para APIs?

votos
0

Existe um nome para o tipo de empresas de autenticação de cliente como o Google e Facebook fazer por seus SDKs?

Por exemplo, ao configurar o SDK do Facebook, você está convidado a fornecer um hash da chave em seu painel de gerenciamento de aplicativo :

não

Estou curioso para saber se posso aproveitar essa técnica para minhas próprias APIs para que, em vez de armazenar um client_ide client_secretpara o meu serviço, eu posso incorporar um tipo similar de verificação de hash. Claro, saber se ele tem um nome vai me ajudar na minha pesquisa para se certificar de que eu não cometa erros ou reinventar a roda. 😉

Publicado 27/11/2018 em 18:02
fonte usuário
Em outras línguas...                            


1 respostas

votos
0

Se fosse apenas uma chave secreta ou privada que foi exportado e hash, então você poderia chamá-lo de um Valor de Verificação Key ou KCV.

No entanto, parece-me que isso simplesmente gera uma assinatura sobre o certificado - que contém a chave pública - em vez disso. Nesse caso, você chamaria o resultado da impressão digital do certificado. Esta impressão digital pode ser usado para algo que chamamos de pinagem certificado , que apenas permite que um único certificado para ser usado.

Se você importá-lo para um armazenamento de chave do Windows e você olhar para os detalhes do certificado, então você deve ver a mesma impressão digital. No entanto, em geral as impressões digitais são codificados em hexadecimais em vez de base de 64.

Respondeu 01/12/2018 em 20:50
fonte usuário

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more