如何在生产中处理API-key和DB密码之类的敏感数据。
如何在生产中处理API-key和DB密码之类的敏感数据。
提问于 2017-10-20 10:37:18
我正在为一个web应用程序建立一个开发和生产环境。它使用一些远程API,您需要一个键来访问它们。您不希望代码中有这些内容,也不需要数据库凭据。
我做了一些研究,并了解到可以将它们存储在一个没有提交到存储库的文件中。这在生产服务器(Ubuntu16.04)上安全吗?假设服务器已经被正确地加固了?还是应该采取更多的步骤?还是一起做这件事是错误的?
回答 1
Security用户
回答已采纳
发布于 2017-10-20 12:15:48
确认。当然,这些秘密不应该硬编码在代码中。最好是有一个单独的文件与机密加密。此文件应存储在应用程序服务器无法访问的某个区域(超出其范围)。
根据配置文件中数据的加密,不幸的是,我不熟悉Ubuntu所具有的特性。我是.NET开发人员,.NET框架提供了一种机制,允许使用存储在机器上的定义密钥(MachineKey)加密配置文件(web.config)的部分内容
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/171765
复制相关文章
相似问题
腾讯云开发者
