您是否将钥匙留在大型停车场的车内? 如果没有,那为什么还要在Github项目中公开API_KEY?
通常使用Cloud服务部署应用程序,但它具有安全性。 云服务需要凭证,通常以API令牌的形式。 鬼nea的黑客搜索这些令牌以用作挖掘加密货币的计算资源或使用它们访问敏感数据。
一种非常普遍的做法是扫描Web和公共工具(例如GitHub),以在不知不觉中公开访问的API密钥中进行搜索。 这给用户和云服务提供商都带来了重大风险。
主要问题是,历史上开发人员将api_keys存储在代码中
下面的代码并不难找到,
# src/keys/api_key.js
SOME_SERVICE_API_KEY = '2es8-473t-43ef-a34d' # Don 't tell anyone!
许多开发人员不断在代码中公开其API密钥,然后将其推送到存储库中,然后瞧瞧!
显然,这是最不安全的方法,因为您要公开一个重要的秘密,这会大大增加秘密泄露的风险。
我必须开发一个项目作为任务,其中一项要求是使用“ The Movie Database API ”服务。 做到这一点的方法是在每次对服务的调用中提供API_KEY。 就我而言,该键不会在应用程序运行时被完全隐藏。
无论如何,它为我提供了一个很好的机会来学习如何避免将密钥存储在代码本身中。 我借此机会在这里分享我的经验。 您可以在我的GitHub项目中获取所有详细信息。
我使用ES6,