我們有一個(gè)現(xiàn)有的 API，我們的一些外部應(yīng)用程序（Docker 容器等）使用它來(lái)回調(diào)我們的服務(wù)器。它使用 HMAC（共享秘密）系統(tǒng)進(jìn)行保護(hù)。這在從一臺(tái)服務(wù)器向另一臺(tái)服務(wù)器進(jìn)行調(diào)用時(shí)非常有效。但是，我們即將開始慢慢地將我們的網(wǎng)站形式 .NET Web Forms 轉(zhuǎn)換為 Angular (v6)，我們希望 Angular 能夠使用相同的 API 和相同的安全性。我們?cè)O(shè)想的是一個(gè)單一的 Angular 庫(kù)，稱為類似AngularAPICall，它在每個(gè)會(huì)話開始時(shí)實(shí)例化，它接受公鑰和共享秘密作為參數(shù)。然后，每次 Angular 需要回調(diào)服務(wù)器時(shí)，它都會(huì)調(diào)用 內(nèi)部的方法AngularAPICall，該方法使用公鑰和共享秘密來(lái)創(chuàng)建所需的哈希值并構(gòu)建 API 調(diào)用標(biāo)頭。但是，我們不確定在像 Angular 這樣的原生客戶端平臺(tái)上使用 Shared Secret 時(shí)如何保證它的安全。我們?cè)谀睦?如何存儲(chǔ)共享秘密？把它放在 web.config 中不會(huì)有任何好處。除了存儲(chǔ)它，我們?nèi)绾螌⑺鼈鬟f到客戶端庫(kù)AngularAPICall并保證它的安全？我們?nèi)绾伪３炙员阍谡{(diào)用之間保持它？或者……我們是不是用錯(cuò)了方法？我們是否應(yīng)該重新考慮如何處理我們?cè)?Angular 中使用的 API 安全性？