해시 된 "암호"로 HMAC 서명 생성

저는 RESTful API 프로젝트에서 인증 방법을 가지고 놀고 있으며 인증 방법으로 HMAC-SHA256 서명을 생성하는 아이디어가 정말 마음에 듭니다.

클라이언트는 몇 가지 간단한 단계로 서명을 생성합니다.

# example client-side code
sig = hmac.new(bytes('SUPER_SECRET_KEY', 'utf-8'), b'', sha256)
sig.update(request_path)
sig.update(request_body)
# ...other variables needed for generating the signature...

signature = sig.hexdigest()

그의 "사용자 이름"(예 :)과 함께 요청 헤더에 추가합니다 Authorization: THE_USER_NAME:abcd1234xyz890.

서버 측에서도 같은 방식으로 다시 만들려고합니다.

# example server-side code
def do_check(request):
    # get user name from request header
    username = request.headers['Authorization'].split(':')[0]

    # some method to retrieve the "secret key" from database
    user = db.User().filter(username=username).one()

    # use user's "secret key" to generate the signature
    sig = hmac.new(bytes(user.key, 'utf8'), b'', sha256)
    sig.update(bytes(request.path, 'utf-8'))
    sig.update(request.data)
    # ...other variables needed for generating the signature...

    return sig.hexdigest()
    # compare the returned signature with the one client sent us...

이 모든 것은 사용자의 키를 데이터베이스에 일반 텍스트 로 저장하는 한 잘 작동 합니다.

| username      | key              |
------------------------------------
| THE_USER_NAME | SUPER_SECRET_KEY |

우리 모두는 이것이 절대적으로 용납되지 않는다는 것을 알고 있으므로 단순히 SUPER_SECRET_KEYwith 해시하고 bcrypt대신 해시 된 문자열을 저장 하려고했습니다 .

| username      | key                                                          |
--------------------------------------------------------------------------------
| THE_USER_NAME | $2b$12$UOIKEBFBedbcYFhbXBclJOZIEgSGaFmeZYhQtaE4l6WobFW1qvIf6 |

내가 지금 직면하고있는 문제는 클라이언트가 "비밀 키"의 해시되지 않은 버전을 사용하여 더 이상 일반 텍스트로되어 있지 않기 때문에 서버 측에서 할 수없는 서명을 생성했다는 것입니다.

유사한 접근 방식의 예 중 하나는 Amazon Web Services에서 HMAC 서명을 생성하는 것입니다 (동일한 프로세스에 대한 간단한 설명 도 있음 ). 추가 로그인이나 인증이 필요하지 않으며 키에 대한 토큰이나 "교체"를 제공하지 않습니다. 비밀 조합. AWS가 데이터베이스 (?)의 일반 텍스트로 비밀을 저장하고 있는지 정말 의심됩니다.

클라이언트 측이 서명 생성 방법을 변경하도록 강요하지 않고 (예 : bcrypt비밀을 설치 하거나 해싱 하지 않도록) 데이터베이스에서 해시 된 버전의 "비밀 키"를 사용하여 서버 측에서 HMAC 서명을 어떻게 다시 만들 수 있습니까?