在服务器上使用应用程序 key (例如 Twitter API key 或 Parse.com key )的最佳实践是什么?
我们有一些 NodeJS 代码需要部署到将访问 Twitter 和 Parse.com API 的云服务器。将 config.js 模块中的 key 推送到 Git 存储库,然后在服务器上克隆该存储库是否安全(或者我只是偏执)?
最佳答案
Git 存储库很容易通过不安全的 fork 、开发人员的一台计算机被感染、意外暴露等而泄漏。
即使 git repo 是完全安全的(不可能),你也会打开其他攻击媒介:如果你扩展,让更多的人参与一个项目怎么办?您本质上必须最终信任他们每个人的 key 。
将 key 存储在任何版本控制软件中是没有意义的,只需将它们保存在安全的地方并进行备份,然后使用 SSH 上传到最终服务器即可。
遵循最佳实践永远不会有坏处:
- 在存储库中具有结构化但未填充的
config.js
,以简化设置。 - 使用 SSH 或其他安全方法修改最终服务器上的
config.js
,插入值。
附注你一点也不偏执(这个时候再谨慎也不为过)。
关于node.js - 在服务器和 Git Repo 上使用应用程序 key 的最佳实践,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28322244/