Какие недостатки и риски могут возникнуть при хранении токенов в memcached?

Хранение токенов в memcached и использование паролей и логинов в открытом виде в коде имеет несколько значительных недостатков и рисков. Рассмотрим их подробнее:

### Недостатки и риски хранения токенов в memcached:

1. **Отсутствие шифрования**:
   - Токены хранятся в памяти в открытом виде, что делает их уязвимыми для перехвата при доступе к памяти сервера.

2. **Уязвимость к атакам**:
   - Если сервер с memcached будет скомпрометирован, злоумышленник сможет получить доступ к токенам и использовать их для несанкционированного доступа.

3. **Риск сессии**:
   - Если массив токенов не очищается должным образом, это может привести к ситуации, когда старые или неактивные токены продолжают существовать и могут быть использованы злоумышленниками.

4. **Непредсказуемое время жизни**:
   - memcached может сбрасывать данные по мере исчерпания выделенной памяти, что может привести к потере токенов и необходимости повторной аутентификации пользователей.

5. **Отсутствие механизмов защиты**:
   - memcached не предлагает инструментов для контроля доступа, что означает, что любой, имеющий доступ к памяти, может увидеть хранимые данные.

### Потенциальные недостатки хранения паролей и логинов в открытом виде в коде:

1. **Уязвимость к утечкам кода**:
   - Если код будет случайно опубликован (например, через системы контроля версий), все учётные данные окажутся доступными для злоумышленников.

2. **Сложность модификации**:
   - Внесение изменений в пароли и логины требует изменения исходного кода и повторного его развертывания, что может увеличить риск ошибок и сделать процесс обновления более сложным.

3. **Компрометация доступа**:
   - В случае утечки или несанкционированного доступа к коду, злоумышленник сможет сразу использовать логины и пароли для компрометации системы.

4. **Отсутствие центрального управления**:
   - Управление учётными данными в коде не позволяет легко применять политику безопасности (например, регулярную смену паролей).

5. **Необходимость учета среды**:
   - Хранение паролей в коде делает сложным переход к различным средам (разработка, тестирование, продакшен), каждая из которых может требовать различных учётных данных.

### Рекомендации:

- **Шифрование**: Используйте защищенные методы для хранения токенов, такие как хэширование или шифрование с ключами.
- **Безопасные хранилища**: Рассмотрите возможность использования решений для управления секретами (например, HashiCorp Vault, AWS Secrets Manager или аналогичных).
- **Изолированное хранилище**: Используйте базы данных с контролем доступа для хранения токенов и секретов, а не кеширующие системы.
- **Никогда не храните пароли в открытом виде**: Вместо этого используйте средства для безопасного управления паролями и учётными данными.

Вы столкнулись с проблемой "бумажки на мониторе", то есть не озаботились безопасностью данных на должном уровне, и теперь пытаетесь вместо того чтобы более серьезно отнестись к общей безопасности, найти 1 "универсальное" решение, которого нет. 
 
 В общем случае достаточно вынести чувствительные данные выше документ рут и исключить файлы с ними из репозитория, внеся в гитигнор. Все остальные телодвижения никак не повышают общую безопасность, и любые меры сокрытия реквизитов упираются в небезопасность хранения проекта, дырявость самого сервера или недостаточную изоляцию чувствительных данных от кода. 
 
 Основным общепринятым "правильным" методом хранения паролей на сегодня является использование .env файла, он лежит выше документ рут, имеет атрибут скрытого по умолчанию в линукс системах, а так же большинство IDE автоматически вносят такие файлы в гитигнор, то есть сразу удовлетворяет большинству требований.