我有一个 Web 应用程序,它使用 key 和凭据从支付网关、数据库提供商等外部服务调用 API 端点。
我考虑了这些选项来保持这些值:
- 在应用启动前设置环境变量,并在应用运行时加载它们。如果所需值不可用,例如未设置,退出应用程序。
- 在应用启动时,要求用户(我自己或管理员)输入凭据。如果必填字段为空,则退出,否则继续加载应用。
- 将它们作为纯值保存在配置文件中。对我来说,这是最不可取的方式。
如果我想尽可能保证 key 的安全,我应该使用哪一个?
最佳答案
我会选择 user environment variables , 正如 google 所推荐的那样和 amazon .
如果您打算存储在纯文本文件中,请记住不要将它们保存在您应用的源代码树中(如果您使用某些版本控制,您最终可能会将它们公开)。
此外,请记住定期重新生成您的 key 。
关于api - 在哪里保存 Web 应用程序的私钥和凭据?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41377338/