Никак, его достанут в любом случае. Похоже что вы пытаетесь соорудить нечто вроде Mutual TLS, если хотите на nginx повесить аутентификацию.

Проще выполнять обычную аутентификацию, с мультифактором. Если хотите реально упороться - каждому клиенту выдавайте по токену Yubikey с NFC, криптооперации выполняются прямо на токене, секурно.

Обойтись без хранения секретов на клиенте, посмотрите в сторону zero knowledge proof, но вживую не видел реализаций.

В той же схеме с AppRole в Vault, требуется участие третьей стороны, для постоянной дополнительной аутентификации субъекта доступа. В общем это называется zero secret problem.

Если есть возможность использовать человека для ввода знания и второго фактора, например, то у вас нет проблемы.

Спасибо за ответы. Почитаю еще тогда. Обычная аутентификация с мультифакторкой может быть вполне вариантом тоже.

Так вам для людей надо авторизацию или сервисов?
Для людей смотрим в сторону OAuth, для сервисов в сторону Волта.

Пока для людей.

Я для подобных целей всегда использую https://github.com/pusher/oauth2_proxy

Есть ещё такой проект, но он какой-то сложный https://www.ory.sh

Посмотри на менеджер управления секретами

Реальные пароли клиент вообще не вводит

Плюс можно использовать мультифактор

Или мушл тлс

за этот проект спасибо, рассмотрю его, посравниваю с https://github.com/ory/hydra .

В этом чате уже почти 4 сотни человек, но мы так ещё и не обозначили его тематику.

В этом чате мы обсуждаем
- Как писать безопасный код или как находить ошибки безопасности в коде. (Делимся базовыми принципами и опытом настройки: линтенеров, пайплайнов, статических, динамических анализаторов и прочий SDLC)
- Как делать безопасную инфраструктуру (Patch management, как настроить ssh, nginx, auditd, ACL в AWS и т.д)
- Мониторинг безопасности (SIEM, мониторинг инфраструктуры, мониторинг кодовой базы. Что нужно добавить в инфраструктуру или продукт для удобного мониторинга безопасности)
- Прочие тулы которые команды безопасности могут предоставлять разработчикам и админам как готовые решения или сервисы (Hashicorp Vault, VPN, плейбуки)
- Поиск уязвимостей в своём приложении (Как самому провести пентест, где лучше нанять сторонних пентестеров, как организовать багбаунти)
- Проблемы отношений между специалистами по безопасности, программистами и админами.

В этом чате мы не обсуждаем: Как организовать атаку на сторонний сервис. Как взломать страничку в vk. Как пробить человека по телефону. Где купить слитые карточки или пароли. Где заказать DDOS. Прочие яумамкихацкер-вещи.

самое интересно и запретили. :'(

Отписываюсь! :)