簡體 English 中英

在哪里保留Web應用程序的私鑰和憑據？

[英]Where to keep private keys and credentials for a web app?

原文 2016-12-29 10:02:53 4 3 api/ security/ go/ web-applications/ key

我有一個Web應用程序，該應用程序使用鍵和憑據從諸如支付網關，數據庫提供者之類的外部服務調用API端點。

我謹記以下這些選項來保持這些值：

在應用啟動之前設置環境變量，並在應用運行時加載它們。 如果所需的值不可用（例如未設置），請退出應用程序。
在應用啟動時，要求用戶（我自己或管理員）輸入憑據。 如果必填字段為空，請退出，否則繼續加載應用程序。
將它們作為純值保存在配置文件中。 對我來說，這是最不推薦的方法。

如果我想盡可能安全地保管鑰匙，應該使用哪個？

3 個解決方案

我會使用用戶環境變量，這是google和amazon都建議的。

如果要存儲為純文本文件，請記住不要將其保留在應用程序的源代碼樹中（如果使用某些版本控制，則可能最終將其公開）。

另外，請記住要定期重新生成密鑰。

我認為您應該像您所說的那樣使用配置文件。 也許加密它？

如果要管理很多鍵，則環境變量會變得笨拙。 混合方法對我有用：加密秘密並將其全部放入config（通常為base64）中。 對所有密鑰使用相同的加密密鑰，並將其作為環境變量傳遞。

因此，您只需要設置一個環境變量即可根據需要保護盡可能多的其他機密。

在Javascript Web App中保護私有API密鑰

[英]Securing Private API keys in Javascript Web App

無法理解在哪里存儲私鑰

[英]Having trouble understanding where to store private keys

Flutter web 中的api 密鑰存放在哪里？

[英]Where to store api keys in Flutter web?

如何為API驅動的Web應用程序保留登錄憑據

[英]How To Persist Login Credentials for an API-driven Web App

如何在ILB ASE中將Web應用程序保持為api app調用

[英]How to keep web app to api app calls within ILB ASE

公鑰和私鑰API

[英]Public and private API keys

如何在 azure 私有中制作網絡應用程序/apiapp？

[英]How do I make a web app/apiapp in azure private?

對於匿名提交給API的應用程序，我應該使用哪種憑證系統？

[英]What credentials system should I use for an app where submissions to an API are anonymous?

Steam Web API：我在哪里可以找到公共/私人的個人資料狀態？

[英]Steam Web API: Where I can find the profile status public/private?

API設計-最好是為客戶和我們的Web應用程序運行一個共享api或將其拆分為兩個API（私有和公開）？

[英]API Design - Would it be best to run a shared api for customers and our web app or split it into 2 apis, private and public?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 在Javascript Web App中保護私有API密鑰無法理解在哪里存儲私鑰 Flutter web 中的api 密鑰存放在哪里？如何為API驅動的Web應用程序保留登錄憑據如何在ILB ASE中將Web應用程序保持為api app調用公鑰和私鑰API 如何在 azure 私有中制作網絡應用程序/apiapp？對於匿名提交給API的應用程序，我應該使用哪種憑證系統？ Steam Web API：我在哪里可以找到公共/私人的個人資料狀態？ API設計-最好是為客戶和我們的Web應用程序運行一個共享api或將其拆分為兩個API（私有和公開）？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM