Где можно безопасно хранить токены в десктопе?

Question

[Snoz3f]

Приветствую, я пишу десктоп приложение на расте с использованием Tauri. Написал сервер на ноде, но вот задаюсь вопросом. Где хранить токены в таком случае, если там отсутствует такое понятие, как куки? Понятно, что можно запихать их в любой файл в кэше, но есть какие-либо безопасные способы хранить подобную информацию?

Answer 1

[Василий Банников]

В случае маков можно хранить в keychain.
https://developer.apple.com/documentation/security...

В случае некоторых дистров линукса - тоже , но надо смотреть для каждого.

В случае винды - можно использовать DPAPI
https://learn.microsoft.com/en-us/previous-version...

Во всех случаях можно хранить не сами токены, а ключи для расшифровки, а сами токены держать зашифрованными в файлах

UPD: на винде есть ещё https://learn.microsoft.com/ru-ru/windows/uwp/secu...
А на линуксе есть libsecret

UPD2: есть готовый Крейт, который это всё многообразие обобщает: keyring

Comments

[mayton2019]

Для Linux десктопа хранилищем ключей является фолдер $HOME/.ssh/
Там лежат обычно RSA ключики ко всяким сервисам. Вот можно писать туда.

[Василий Банников]

mayton2019, ну это всё-таки ключи для ssh и с точки зрения пользователя будет не удобно, если каждый раз при запуске спрашивать пароль от ssh ключа.

Есть например gnome keyring и у него есть API для хранения паролей (сейчас проверил)

https://wiki.gnome.org/Projects/GnomeKeyring/Stori...
Он по дефолту используется на той же убунте и его используют разные приложения.

[mayton2019]

Василий Банников, да я вообще не против этих всяких API. Убежден они даже надежнее.
Тем более что я не знаю что такое Tauri. Но я-бы начал с простого. И с анализа угрозы.
Кто грозит пользователю в его-же каталоге?

[Василий Банников]

mayton2019, tauri-Фреймворк такой на основе вебвью (в отличие от электрона, который использует хромиум). UI делается на HTML/CSS/js, а логика в отдельном процессе на том же расте, и они между собой коммуницируют.

Answer 2

[Станислав Макаров]

Мы в своём Electron-приложении для хранения паролей используем keytar. Он хранит пароли в наиболее подходящем для каждой ОС месте:

A native Node module to get, add, replace, and delete passwords in system's keychain. On macOS the passwords are managed by the Keychain, on Linux they are managed by the Secret Service API/libsecret, and on Windows they are managed by Credential Vault.

Пользователи счастливы, мы особых проблем не имеем с этим.

Т.к. вы пишете на Расте, я бы предложил вам keytar-rs, но этот крейт выглядит не очень популярным (пока), поэтому используйте осторожно.

Comments

[Василий Банников]

Там сразу предлагают использовать другой крейт: https://crates.io/crates/keyring, и он достаточно популярный

[Станислав Макаров]

Василий Банников о, выглядит неплохо, да. С такой же постановкой задачи, как keytar.