secrets :如何在web应用程序中加密clientId和clientSecret?
secrets :如何在web应用程序中加密clientId和clientSecret?
提问于 2021-08-07 06:11:18
人们建议不要存储API密钥和密码配置文件,而是使用Secrets vault。例如:AWS或Azure。
但要访问它们,您需要一个clientId和clientSecret。这些需要存储在应用程序中的某个位置。例如app.config。所以我真的不明白,如果黑客可以使用应用程序中的clientId和clientSecret来获取密码或api密钥,那么这解决了什么问题?
这似乎比存储一个api密钥的原始问题更糟糕,因为如果他们访问密钥管理器,他们将拥有所有的密钥和所有的密码。
Stack Overflow用户
发布于 2021-08-07 06:30:46
AWS提供了几种不同的服务来存储您的秘密。假设您在应用程序配置文件中有一个数据库密码,您可以使用AWS secret manager或AWS Parameter store将其存储为Secret。
要安全地检索这些值,您不必存储应用程序中存储的另一个秘密。您可以在AWS中使用一种称为基于角色的访问的机制。
如果您在ec2实例上运行您的应用程序,您可以配置一个AWS角色/配置文件,并将其分配给ec2实例,该实例将安全地链接密钥管理器和ec2机器,并且您的应用程序具有解密密钥并在应用程序中使用的连接。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/68689837
复制相关文章
相似问题
腾讯云开发者
