Я реализую API для CMS.
Клиенты получают доступ к API через открытый ключ или закрытый ключ (для более конфиденциальных данных). Они могут читать И писать в базу данных с закрытым ключом.
Я сохраняю ключи (просто случайные строки) в виде открытого текста в базе данных.
Я научился не хранить пароли в открытом виде. Основная причина в том, что потенциальный злоумышленник может использовать пароли в других системах (например, в Facebook), где пользователь использует тот же пароль.
Это не относится к APIKeys, так как они генерируются самим API, и единственная их ценность заключается в предоставлении доступа к базе данных. Если злоумышленник зашел так далеко, у него уже есть доступ.
Сказав это: я делаю что-то неправильно, если храню API-ключи в виде открытого текста?