<div dir="ltr"><div><div>Why wouldn't HTTPS / SSL be good enough to keep your secret data secret ?<br></div>That probably won't be easy to crack for at least 5 or 10 years ;)<br></div>-Rob<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, May 14, 2016 at 4:05 PM, Leon Shernoff <span dir="ltr"><<a href="mailto:leon@mushroomthejournal.com" target="_blank">leon@mushroomthejournal.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi, everyone<br>
<br>
Is there a "best practices" (or even a "minimally adequate practices") post/article somewhere for handling a secret API key?<br>
<br>
My dilemma: customer interaction on client's website needs follow-up action that requires secret API key. Client insists that this must all be automatic and triggered by customer action. I'm like "Any chain of actions that is automatic and initiated by action on a public page is going to leave a trail to your key." I have a couple of potential solution architectures in mind (that are actually secure), but for now I mostly need to talk client down from this idea that it needs to all happen totally automatically and yet with complete security. Of course, if there *is* some magic architecture through which this can happen, I'm all ears. :-)<br>
<br>
Thanks!<br>
<br>
-- <br>
Best regards,<br>
    Leon<br>
<br>
"Creative work defines itself; therefore, confront the work."<br>
     -- John Cage<br>
<br>
<br>
Leon Shernoff<br>
1511 E 54th St, Bsmt<br>
Chicago, IL  60615<br>
<br>
(312) 320-2190<br>
<br>
_______________________________________________<br>
Chicago mailing list<br>
<a href="mailto:Chicago@python.org" target="_blank">Chicago@python.org</a><br>
<a href="https://mail.python.org/mailman/listinfo/chicago" rel="noreferrer" target="_blank">https://mail.python.org/mailman/listinfo/chicago</a><br>
</blockquote></div><br></div>