Что это такое?
Демонстрация того, как шифровать API-ключи прямо в браузере и разблокировать их с помощью passkey или пароля.
Проект / TypeScript
BoltAI/passkey-secret-demo: Passkey Secret Demo — локальное шифрование API-ключей в браузере
Защитите секреты в браузере с помощью шифрования и разблокировки через passkey, чтобы они не лежали в хранилище в открытом виде.
Это демонстрационный проект на TypeScript, показывающий паттерн безопасного хранения секретов в браузере. Вместо хранения API-ключей в открытом виде в localStorage, они шифруются локально. Расшифровка возможна либо через recovery-пароль, либо через passkey...
Для кого это
Для разработчиков, которые хотят безопаснее хранить API-ключи в браузерных приложениях, и для специалистов по безопасности, изучающих современные криптографические паттерны.
Проблема / задача
Когда вы просите пользователя вставить API-ключ в браузерное приложение, самый простой способ — сохранить его в localStorage или IndexedDB. Но тогда секрет лежит там в открытом виде, и любой XSS или утечка хранилища сразу раскрывает ключ.
Как это работает
Проект генерирует случайный ключ шифрования прямо в браузере, шифрует им секрет (например, API-ключ) и сохраняет только зашифрованный текст. Ключ шифрования дополнительно «заворачивается»: один раз с помощью recovery-пароля (через scrypt), а второй раз — с использованием выхода PRF от WebAuthn passkey. Для расшифровки нужен либо пароль, либо физическое подтверждение через passkey.
Что видно по README
Это демонстрационный проект на TypeScript, показывающий паттерн безопасного хранения секретов в браузере. Вместо хранения API-ключей в открытом виде в localStorage, они шифруются локально. Расшифровка возможна либо через recovery-пароль, либо через passkey (биометрию или ключ безопасности). Весь процесс происходит полностью на клиенте, без участия бэкенда. Проект позиционируется как наглядный пример, а не готовое...
Ключевые возможности
Технологии
Темы и ключи
Интересный факт
Проект использует расширение WebAuthn PRF (Pseudo-Random Function) для получения криптографического материала от passkey, что позволяет использовать его как источник ключей для шифрования, а не только для аутентификации.
С чего начать
- Откройте live-демо в браузере
- Введите тестовый API-ключ и recovery-пароль
- Зарегистрируйте passkey для этого браузера
- Обновите страницу и разблокируйте ключ через passkey или пароль
Оценка GitRadar
Удобство
6/10
Свежесть
9/10
Перспектива
7/10
Монетизация
3/10
Общая оценка
6/10
Вердикт GitRadar
Стоит попробовать как образовательный демо-проект, чтобы понять современный паттерн защиты данных в браузере. Для production-использования потребуется серьёзная доработка и аудит.
Наблюдения по обновлениям
Проект свежий и актуальный, демонстрирует современный подход с использованием WebAuthn PRF. Активность низкая (11 звёзд, 1 форк), так как это именно демо, а не библиотека.
Что мы проверили
Карточка собрана по данным GitHub, README и структуре репозитория. Это не официальная документация проекта.
- Исходный репозиторий
- https://github.com/BoltAI/passkey-secret-demo
- Официальный сайт
- https://passkey-demo.boltai.com
- Лицензия
- MIT
- Создан на GitHub
- 1 апреля 2026 г.
- Последнее обновление репо
- 1 апреля 2026 г.
- Последняя проверка GitRadar
- 1 апреля 2026 г.
- Изученные файлы
- README.md, src/main.ts, index.html, package.json, src/vite-env.d.ts, src/lib/storage.ts
FAQ
Для кого подходит?
Для разработчиков фронтенда и специалистов по безопасности, которые хотят улучшить защиту чувствительных данных в клиентских приложениях.
Источники
- GitHub исходный код и активность
- Официальный сайт позиционирование и демо
- README описание, ссылки, стартовые материалы
Нужна помощь с BoltAI/passkey-secret-demo?
Если проект подходит под ваш сценарий, можем помочь с установкой, интеграцией, доработкой или аккуратным форком под вашу инфраструктуру.