API Token in Datenbank ablegen?

Diskutiere API Token in Datenbank ablegen? im Allgemeine Java-Themen Bereich.
B

beta20

Hallo,

ich habe eine Frage zu API Tokens, wie bspw. von PayPal.
-> Ich möchte den API Token pro Benutzer in meiner Applikation in der Datenbank ablegen, sodass der Benutzer nicht immer wieder die Logindaten eingeben muss oder bspw. Bestellungen von Amazon zu bekommen...

Nun frage ich mich aber, ob der API Token in meiner Datenbank auch verschlüsselt werden muss (Sicherheitsgründe)?

Danke für jede Hilfe
 
L

LimDul

In keinen :)
Du solltest das mal in Ruhe lesen, was Paypal dir verbietet zu speichern (unter anderem wird verboten die Passwörter der User zu speichern etc.)
 
B

beta20

PayPal war jetzt auch nur ein Beispiel. Es geht im Grunde generell darum den API Token bei mir in der Datenbank zu speichern.
 
L

LimDul

Grundsätzlich spricht nichts dagegen - außer die AGBs des API Anbieters verbieten es.
 
L

LimDul

Das dürfte davon abhängen, was der Anbieter sagt. Ein Token ist erst mal nur ein String, den man zur Verarbeitung im Klartext braucht.
 
L

LimDul

Nachtrag:

Ich gehe davon aus, dass wir hier von einem professionellen/gewerblichen Umfeld reden.

Das heißt im Endeffekt greift hier auch die DSGVO und alles rundherum, das heißt musst du alle relevanten Daten angemessen schützen und sicherstellen, dass du auch nur das speicherst, was notwendig und erlaubt ist und bei einer Übermittlung von Daten an andere Stellen auch entsprechend abgesichert bist. Deswegen kann man deine Frage
a) in der allumfassenden Form nicht eindeutig mit Ja oder Nein beantworten. Es gibt nirgendwo niedergeschrieben, dass du sowas verschlüsseln musst. Aber genauso wirst du nirgendwo niedergeschrieben finden, dass man es nicht muss.
b) Kann dir für konkrete Fälle nur ein auf dieses Thema spezialisierte Rechtsanwalt eine (einigermaßen) verbindliche Antwort geben.

Und selbst wenn du es vielleicht nicht musst - wenn es dazu kommt, dass durch ein Leck Daten abhanden kommen und damit Schaden entsteht, kann es sein, dass das im Nachhinein entschieden wird, dass deine Maßnahmen unzureichend waren und du entsprechend Bußgeld zahlen musst bzw. haften musst. Und an der Stelle würde ich mir generell (wie gesagt, ich gehe von gewerblichen Umfeld aus) lieber eine professionelle Meinung einholen und lieber auf Nummer sicher gehen. Ich würde an deiner Stelle bewerten:
* Angenommen ein Angreifer bekommt Zugang zur Datenbank, was kann er mit diesen Informationen anfangen
* Wie hoch ist Schaden?
* Wie kann ich verhindern den Schaden verhindern bzw. dafür sorgen das die Daten für den Angreifer nutzlos sind
* Wie hoch ist der Aufwand dafür

Und dann Kosten/Nutzen in ein Verhältnis setzen.
* API Token mit dem ich Wetterdaten abgreife? Wenn der Angreifer das erhält, hab ich vielleicht durch erhöhte Aufrufe der API höhere Kosten, aber dafür gibt es ein Monitoring der Kosten => Nichts tun
* API Token mit dem ich - ohne weitere Daten zu benötigen, die nicht in der DB liegen - Überweisungen vornehmen kann? Das würde ich veriegeln und verammeln bis zum geht nicht mehr.
 
B

beta20

Danke - ja, ich habe hier bei meiner Frage auf Erfahrungswerte gehofft. Ich denke nicht, dass ich der Einzige bin, der bspw. PayPal, Amazon, Stripe etc. in seiner Applikation anbinden möchte?

Naja, bspw. bei PayPal kann ich (meines Wissens, ich habe es nicht geprüft), mit dem API Token dann zB die Umsätze einsehen etc.
 
Thema: 

API Token in Datenbank ablegen?

Passende Stellenanzeigen aus deiner Region:
Anzeige

Neue Themen

Anzeige

Anzeige
Oben