私はcryptocurrencies用のWebサイトを作成するというアイデアを持っています。彼がその取引所で取引することを可能にするが、私の「より使いやすい」ウェブインターフェースを使用することを可能にする。ユーザーの敏感なAPIの詳細を保存するための安全な方法(localStorageまたはdatabase?)
私の主な目標は、ほとんどの交換用ウェブサイトが提供するものよりもユーザーフレンドリーなインターフェースを作成することです。私はどの暗号化財布や財布にも直接接続していません。既存の交換市場のAPIを使用して、私のウェブサイトに情報を中継します。ここで私はより使いやすいインターフェースを持っています。
これはセキュリティに関して非常に敏感な課題ですので、私は、ユーザーのAPIの詳細を保存するのが最善の方法であると考えています。 一般的に、APIの詳細を私のデータベースサーバにも私のサーバにも格納したくないという考えは一般的です。私のウェブサイトがハッキングされ、APIの詳細が公開されているという考えは恐ろしいものです。もちろん、APIをサポートする各エクスチェンジ・ウェブサイトには、2FAのAPIセッション、IP制限、毎週の新しいAPI秘密鍵の生成、APIによる日次取引限度、APIを介したウォレットの引き出し禁止など、独自のセキュリティが組み込まれています。しかし、これらのAPIの詳細が盗まれると、被害はまだやり遂げることができます。
APIの詳細をサーバーに保存する必要はなく、ユーザーが自分のPCにローカルで保存する必要がある場合は、私が好きです。そのようにして、彼はAPIの詳細を安全に保つことを担当しています。
この考えは、電子(https://electron.atom.io/)を使用してデスクトップアプリを作成するという考えに私をもたらしました。そうすれば、私が望むようにウェブサイトを作成することができますが、それは電子に包まれ、常にローカルに実行されます。このアイデアを追求する前に、私のウェブサイトクラウドベースのSaaSを使って著作権侵害を防ぐことを望むので、私は以前のウェブサイトの考え方を調べていきたいと思います。
ユーザーのAPIの詳細をサーバーに保存せずに保存すると、他にどのようなオプションがありますか? Cookies?おそらく安全ではないでしょう。 localStorageはどうですか? https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_API
他にもオプションがありますか、これについてはあまりにも妄想的ですか?機密APIの詳細を残りのユーザーの詳細と共にデータベースサーバーに格納することは一般に認められていますか?
Electronを使用しているので、['CryptProtectData'](https://msdn.microsoft.com/en-us/library/)のようなベースOSによって提供されるいくつかの暗号化メソッドの周りにラッパーを書くことができるかもしれません。 windows/desktop/aa380261%28v = vs.85%29.aspx?f = 255&MSPPError = -2147217396)。これらの機密データが他のいくつかのプログラムによって盗まれることになりそうな場合は、あなたが書いたラッパーで暗号化し、それをローカルストレージまたは他の形式のストレージに保管してください。また、セキュリティに関するアドバイスについては、[InfoSecurity.SE](https://security.stackexchange.com/)をお試しください。 –