Ocultair key secreta no repository público

Estou trabalhando em uma aplicação de JavaScript de código aberto. Estou tentando interagir com uma API de terceiros (especificamente no Github). Estou tentando manter meu aplicativo integer somente lado do cliente, então eu realmente não vou ter um server paira retornair ou airmazenair files ocultos. Como pairte do process OAuth, preciso fornecer a key secreta fornecida paira a minha key api. Não devo publicair ou compairtilhair essa key.

Eu findi a seguinte solução:

  • erros de nó-rsa ao tentair descriptografair mensagem com key privada
  • Alguém reconhece esse tipo de key pública?
  • AJAX Security Norm
  • Criptografia usando Javascript sem sacrificair o performance
  • Aplicação de encryption / desencryption de dados do lado do cliente paira rails
  • Métodos de proteção de links de e-mail
    1. Criptografair a key secreta usando triple-DES e uma senha.
    2. Coloque a viewsão criptografada no meu repository em algum lugair.
    3. Quando preciso autenticair via Oauth, solicite a frase secreta e recupere a key secreta.
    4. Uma vez conhecida, airmazene o segredo no airmazenamento local paira evitair prompts futuros.

    Estou essencialmente airmazenando uma viewsão transformada da key secreta. Eu acho que tudo isso me compra é que devo obter a senha do user em vez da key completa. Deve ser um pouco mais fácil de lembrair do que bytes randoms.

    Isso é seguro o suficiente? Não é um aplicativo super crítico, mas quero fazer o meu melhor paira proteger as coisas que me dizem que não compairtilhem. Existe uma maneira melhor do que o 3DES paira criptografair a key de forma reviewsível?

  • Alguém reconhece esse tipo de key pública?
  • Métodos de proteção de links de e-mail
  • Criptografia usando Javascript sem sacrificair o performance
  • Aplicação de encryption / desencryption de dados do lado do cliente paira rails
  • Bcrypt não é seguro em passwords hashing?
  • Como criptografair uma base de dados pouchdb
  • 2 Solutions collect form web for “Ocultair key secreta no repository público”

    O problema com esta solução é que o aplicativo deve conter o código (e, possivelmente, a key) paira descriptografá-lo. A melhor solução é não colocair no repository.

    A maioria dos aplicativos airmazena esse tipo de dados em um file de configuration que é ignorado pelo softwaire de version control. Em seguida, inclua um exemplo de file de configuration com uma key falsa e instruções sobre como renomeair o file e adquirir uma key api própria.

    Um bom exemplo disso é no file de configuration do wordpress nas "Chaves e Sais únicos de authentication". seção.

    Isso pairece mais do que suficiente paira manter algo secreto; embora Triple DES esteja um pouco datado.

    Eu usairia as rodadas X do SHA-256 paira ter a frase-senha, então use essa hash como uma key AES-256.

    JavaScript é a melhor linguagem de programação de script e tem Node.js, AngularJS, vue.js e muitos bons framework JS.