存储/处理用户特定的API密钥和秘密的最佳方式是什么？

Question

我正在设计一个应用程序，用于访问多个API，这些API需要用户允许通过OAuth访问时提供的特定用户凭据。我对设计这样的程序很陌生，我试图围绕最简单的方式来做这件事。这是我的想法是：

• 在基于OAuth的认证过程中，我指定回调URL（可以称之为A）
• 创建网址的一个POST路由指向功能在用户控制器
• 然后该函数使用API​​ Key + Secret解析JSON数据，对数据进行散列并将其存储在用户表的一列中。

这将是去了解这一点的最好方法是什么？

Answer 1

有一件事我会说是不直接配合这些给用户。有时用户可能想要授权多个帐户，有时多个用户可能会授权同一个帐户。因为你只能有每个帐户的OAuth一个活动刷新令牌，这些creds应保持在一个单独的表，然后用许多一对多的灵活性