Passwords 为什么是“0”;“客户机密”;不是单向散列(用盐)?

Passwords 为什么是“0”;“客户机密”;不是单向散列(用盐)?,passwords,auth0,secret-key,Passwords,Auth0,Secret Key,当使用Auth0管理API时,我惊讶地发现在请求/API/v2/clients/{id}时包含了客户机机密 我本以为这样的信息是不可请求的,而且会被散列。因为它不是,我似乎对API密码安全性有些不了解。当你只能旋转秘密的时候,这可能是概念上的不同?因为这样,您就不会因为随机生成的字符串而面临重复使用密码的风险。或者原因是什么?默认情况下,Auth0会分配机密。因此,租户管理员有必要通过仪表板或管理API访问该机密 话虽如此,管理API是一个功能强大的工具,应该只向受信任的客户端授予访问权限。此外

当使用Auth0管理API时,我惊讶地发现在请求
/API/v2/clients/{id}
时包含了客户机机密


我本以为这样的信息是不可请求的,而且会被散列。因为它不是,我似乎对API密码安全性有些不了解。当你只能旋转秘密的时候,这可能是概念上的不同?因为这样,您就不会因为随机生成的字符串而面临重复使用密码的风险。或者原因是什么?

默认情况下,Auth0会分配机密。因此,租户管理员有必要通过仪表板或管理API访问该机密

话虽如此,管理API是一个功能强大的工具,应该只向受信任的客户端授予访问权限。此外,对于这些客户机,范围应该尽可能窄。授予“读取/更新:客户端”作用域时应考虑偏见