ตู้นิรภัยสำหรับความลับ (Secret vault)
ตู้นิรภัยสำหรับความลับใน Logto ถูกออกแบบมาเพื่อเก็บข้อมูลสำคัญของผู้ใช้อย่างปลอดภัย เช่น โทเค็นการเข้าถึง (Access tokens), คีย์ API, รหัสผ่าน หรือข้อมูลลับอื่น ๆ ที่ต้องการการปกป้อง ข้อมูลลับเหล่านี้มักถูกใช้เพื่อเข้าถึงบริการของบุคคลที่สามในนามของผู้ใช้ ดังนั้นการจัดเก็บอย่างปลอดภัยจึงเป็นสิ่งสำคัญ
รูปแบบการเข้ารหัส (Encryption scheme)
เพื่อปกป้องข้อมูลสำคัญ ตู้นิรภัยสำหรับความลับใช้รูปแบบการเข้ารหัสที่แข็งแกร่งโดยอิงจาก กุญแจเข้ารหัสข้อมูล (Data Encryption Keys; DEK) และ กุญแจเข้ารหัสกุญแจ (Key Encryption Keys; KEK)
- การเข้ารหัสต่อความลับแต่ละรายการ: ความลับแต่ละรายการจะถูกเข้ารหัสด้วย DEK เฉพาะตัว เพื่อให้แม้กุญแจหนึ่งจะถูกเปิดเผย ความลับอื่น ๆ ก็ยังปลอดภัย
- การห่อกุญแจ (Key wrapping): DEK เองจะถูกเข้ารหัส (“ห่อ”) ด้วย KEK ซึ่งระบบจะจัดการและเก็บรักษาไว้อย่างปลอดภัย
- ความปลอดภัยแบบหลายชั้น: แนวทางสองชั้นนี้ช่วยให้แม้ระบบบางส่วนจะถูกเจาะ ผู้โจมตีก็ไม่สามารถเข้าถึงความลับได้หากไม่มีทั้ง DEK และ KEK
- ลดความเสี่ยงในการเปิดเผย: ความลับจะถูกถอดรหัสเมื่อจำเป็นจริง ๆ เท่านั้น เพื่อลดความเสี่ยงในการเปิดเผยโดยไม่ตั้งใจ และสอดคล้องกับแนวปฏิบัติที่ดีที่สุดในการจัดการข้อมูลสำคัญ
โมเดลการเข้ารหัสแบบหลายชั้นนี้ให้การปกป้องที่แข็งแกร่งสำหรับข้อมูลรับรองและโทเค็นที่สำคัญที่สุดของผู้ใช้ ในขณะที่ยังอนุญาตให้เข้าถึงอย่างปลอดภัยเมื่อจำเป็น
ประเภทของความลับ (Secret types)
จัดเก็บและจัดการโทเค็นการเข้าถึง (Access tokens) และโทเค็นรีเฟรช (Refresh tokens) ที่ออกโดยผู้ให้บริการข้อมูลระบุตัวตน (IdPs) ของบุคคลที่สามอย่างปลอดภัย สำหรับใช้ในการเรียก API ต่อเนื่อง
ปัจจุบัน federated token set เป็นประเภทความลับเดียวที่รองรับโดยตรง อย่างไรก็ตาม ตู้นิรภัยสำหรับความลับถูกออกแบบมาเพื่อรองรับข้อมูลสำคัญทุกประเภท หากคุณต้องการรองรับประเภทความลับเพิ่มเติม โปรด ติดต่อเรา — เรายินดีให้ความช่วยเหลือ