将密钥放在heroku配置中安全吗
将密钥放在Heroku配置中并不安全。
Heroku是一种云计算平台,它允许开发者部署、管理和扩展应用程序。然而,将密钥放在Heroku的配置中存在一些安全风险,因为这些配置可以在应用程序代码中被访问到。
首先,将密钥存储在配置中可能会导致泄露。应用程序的代码可能被恶意用户或黑客访问,他们可以查看代码并获取敏感的密钥信息。一旦密钥泄露,攻击者可能利用该密钥进行未经授权的访问或恶意操作。
其次,密钥泄露后,如果需要更改密钥,需要修改Heroku配置,并重新部署应用程序。这可能会导致停机时间和服务中断,并且在大规模应用程序中更为复杂。因此,为了安全起见,不建议将密钥直接存储在Heroku的配置中。
为了解决这个问题,可以考虑使用以下安全措施:
- 环境变量:将密钥存储在应用程序的环境变量中,而不是直接存储在代码或配置文件中。这样,密钥将不会在代码库中被公开,而是在运行时从环境中读取。
- 密钥管理服务:使用专门的密钥管理服务,如腾讯云的密钥管理系统(KMS),来安全存储和管理密钥。这些服务提供了加密和访问控制等功能,帮助保护密钥免受未经授权的访问。
- 访问控制和权限管理:限制对密钥的访问权限,并使用最小权限原则。只授权需要访问密钥的用户或应用程序,以减少潜在的安全风险。
综上所述,将密钥放在Heroku配置中并不安全。建议采取适当的安全措施来保护密钥,并遵循最佳实践来保障应用程序的安全性。
相关·内容
关于这篇文章:Git/Heroku - How to hide my SECRET_KEY?在此跟进问题: 设置: heroku config:set SECRET_KEY="...“ 第三方无法访问输入的密钥,对吗?
浏览 8提问于2020-07-24得票数 1
回答已采纳
我有一个内部开发人员工具,我已经将其推送给heroku,它基本上是一个表单输入应用程序,它将输入的数据提供给shell脚本,以设置远程服务器环境。我想做的一件事是在最后将生成的代码添加到git代码库中。但是,我不确定是否可以安全地将ssh密钥放到heroku dyno上。据我所知,我可以将ssh密钥放在构建包中,然后很容易地将其复制到/app/.ssh,但这意味着将</e
浏览 0提问于2012-08-02得票数 1
回答已采纳
在nodejs中,我们可以使用.env存储密钥并使用process.env.KEY_NAME访问它们。Heroku和AWS等服务器也是如此,我们可以将API密钥存储为配置vars。但是对于shopify,我似乎找不出存储秘密API密钥的位置。 (这似乎不是正确的做法,因为我想把它作为一个秘密存储,并从另一个文件中访问它)。只创建另一个.liquid文件并将我的所有密钥放在那里并从另一个文件调用它<
浏览 3提问于2020-08-17得票数 2
回答已采纳
1回答
在做了一些研究之后,我决定在Heroku上部署我的代码。为了运行我的代码,它需要获得一个API密钥;但是,我希望将API密钥存储在一个安全的地方。因此,我使用CLI的命令config:将密钥存储在Heroku的配置vars中。但是,不知道如何从配置vars中提取密钥,以便将其存储在代码中的变量中。。
我对这一切都很陌生,所以我非常感谢你的帮助。我
浏览 4提问于2022-03-23得票数 1
回答已采纳
我有一个在Heroku上运行的小Sinatra应用程序,它使用一个管理员密码,外加几个API身份验证密钥。heroku config:add ADMIN_PASSWORD=foobar
?或者我使用包含它们的配置文件,而我只是不提交该配置文件?
浏览 3提问于2011-03-02得票数 7
回答已采纳
我将连接到一个需要客户端ssl证书和密钥的安全api。远程api给了我两个人,我可以用postman连接到这个api,没有任何问题。现在,我有一个托管在Heroku上的node.js服务器,我需要发送每个请求的客户端证书和密钥。为了解决这个问题,我已经将它们保存在一个常规文
浏览 7提问于2021-12-27得票数 0
回答已采纳
在返回代码时,我希望继续将其部署到Heroku。例如,VisualStudio.com是否支持向Heroku存储库推送?Heroku是否支持监视除GitHub之外的其他GitHub?
还有其他创造性的解决方案吗?我有多个人推到VisualStudio回购,所以我想避免每个人不得不配置两个推送点.如果有可能的话。
浏览 2提问于2016-10-25得票数 2
回答已采纳
我将密钥添加到heroku配置变量中,但仍在获取错误信息。[key] SECRET_KEY_BASE在secrets.yml secret_key_base此外,如果我将秘密密钥放入<em
浏览 4提问于2016-07-03得票数 7
2回答
在Heroku上存储私有文件
、、、、
我这里有一个关于在heroku上存储私有文件的场景。我需要在heroku应用程序中存储私有文件(用于向IOS设备发送推送通知的证书和密钥)(使用雪松堆栈),我可以通过git将这些文件推送到heroku服务器,但存储在git上并不安全,因为这些文件是私有的因此,我想将这些文件安全地复制(SCP)到heroku服务器,但是heroku不允许传入连接,并且将这些文件存储在S3存储桶中不是
浏览 0提问于2016-01-27得票数 2
给定情景:
有人可以访问我的Heroku账户有人窃取了我的数据库(例如,通过访问Heroku环境变量)
我能安全地保存和访问(当用户登录时)我的数据库中的用户API密钥吗?如果我在任何时候都无法访问加密的密钥,这对我来说是可以的,
浏览 0提问于2018-12-27得票数 3
我正在创建一个Python应用程序,并将其托管在Heroku上。最近我一直在玩Heroku的Config Vars,这样我就可以让我的密钥远离窥探。所以我把我的密钥放在Heroku配置变量中: ? 然后在我的Python代码中,我使用如下代码访问密钥var: print("This is my secret key: " + str(os.environ.get("secret_k
浏览 19提问于2019-05-11得票数 0
回答已采纳
我正在尝试将我的应用程序迁移到Heroku -我有一个配置文件,该文件随开发/升级/生产环境而变化,因为它包含唯一分配的密钥(来自Facebook、S3等),所以我将其放在存储库之外,并将配置保存在本地因此,我正在尝试为Heroku找到一个解决方案,使其具有该配置文件,因为Heroku是从存储库部署的。我注意到Heroku是从主分支部署的--它可以从其他分支部署吗?因为这样我就可以在那里提交<em
浏览 1提问于2010-06-04得票数 0
回答已采纳
1回答
我有一个由Heroku托管的Rails 4应用程序。
在我进行开源项目时,有几个不版本化的文件包含.gitignore中列出的敏感信息。例如,我在应用程序根目录下有一个.secret文件,其中包含用来加密cookie的密钥。我通过运行rake secret命令创建了这个文件。我的问题是,我不能将这个文件发送到我的heroku应用程序,因为它没有版本化,它没有包含在部署中。此外,我正在使用Github,不能冒险在提交历史中公开我的密钥。我尝试使用heroku</e
浏览 1提问于2014-03-04得票数 3
回答已采纳
1回答
我正在使用Heroku托管少量服务。我想更好地理解我要放在Heroku实例上的文件的访问权限。首先,我意识到我要把我的数据交给一家外部公司,如果坏的角色能够渗透Heroku或者黑进我的个人用户帐户,游戏就结束了。我要推给Heroku dyno的微服务的源代码有多安全?未经授权的用户可以克隆潜在的git吗?他们能查看我放在dyno上的内容(文件和文件夹)吗?
配置变量的存储安全</em
浏览 0提问于2017-02-09得票数 2
回答已采纳
我正在将一个托管在Heroku上的Rails应用程序连接到一个使用SSL证书进行身份验证的外部PostgreSQL数据库。对于密码,我们会使用ENV/Config Vars来保证安全.但是如何保护密钥文件呢?我问过Heroku自己,但他们说这是“一个不属于Heroku支持政策性质的问题”
浏览 7提问于2022-11-21得票数 0
回答已采纳
1回答
我希望得到一份关于存储数据库加密密钥以满足HIPAA兼容性以及Amazon文件存储安全性的最佳方法的建议。我一直在搜索堆栈溢出和谷歌搜索,但我只是不能很好地理解我所做的具体工作是否足够。我不想让我的应用程序变得不安全,我不想做一些与规定的方法不同的事情。目前,我有一个Rails应用程序,它使用gem attr_encrypted加密数据库中的敏感病人标识数据,如名称、ssn、地址等。我知道我不应该在应用程序或任何可能被verion控制的文件中硬编码数据库加密密钥,但是我能把它保存在<em
浏览 3提问于2012-12-14得票数 3
3回答
在哪里“隐藏”API密钥
、、、
我的问题是在哪里和如何:
在本例中,我处理的是一个Algolia Admin API密钥(但目的是以一种相当通用的方式问这个问题)我知道我不应该向前端公开我的Admin密钥(即不要把它放在我的app.js文件中)。如何安全地将我的Admin密钥传递到我的app.js文件,以便对我的Algolia索引进行更新?我不知道如何使用js中</em
浏览 2提问于2017-12-14得票数 3
1回答
在我的rails应用程序中,我不知道将开发环境的API密钥放在哪里。SECRET_KEY']}
我使用Heroku进行生产,所以我知道如何配置生产密钥。我遇到的麻烦是在哪里存储开发的密钥,这样我就可以在我的本地主机上测试。它们应该<em
浏览 0提问于2015-01-27得票数 1
刚把我的第一个应用推到Heroku使用Git,并立即得到一个Interanl错误。config/initializers/secret_token.rb我应该从
浏览 12提问于2013-09-01得票数 26
Heroku允许您外部化Django配置,即将API和密钥放入配置变量中,稍后可以像在os.environ.get('MYVAR',3)中那样访问这些配置变量
它展示了如何在中做到这一点。但是,如果我在我的项目中使用私有的Git存储库,那么仅仅在settings.py中硬编码秘密变量是否安全?
浏览 1提问于2016-05-02得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
