锁定您的API_KEY以及为什么这很重要

您是否将钥匙留在大型停车场的车内? 如果没有,那为什么还要在Github项目中公开API_KEY?

通常使用Cloud服务部署应用程序,但它具有安全性。 云服务需要凭证,通常以API令牌的形式。 鬼nea的黑客搜索这些令牌以用作挖掘加密货币的计算资源或使用它们访问敏感数据。

一种非常普遍的做法是扫描Web和公共工具(例如GitHub),以在不知不觉中公开访问的API密钥中进行搜索。 这给用户和云服务提供商都带来了重大风险。

主要问题是,历史上开发人员将api_keys存储在代码中

下面的代码并不难找到,

# src/keys/api_key.js
SOME_SERVICE_API_KEY = '2es8-473t-43ef-a34d' # Don 't tell anyone!

许多开发人员不断在代码中公开其API密钥,然后将其推送到存储库中,然后瞧瞧!

显然,这是最不安全的方法,因为您要公开一个重要的秘密,这会大大增加秘密泄露的风险。

我必须开发一个项目作为任务,其中一项要求是使用“ The Movie Database API ”服务。 做到这一点的方法是在每次对服务的调用中提供API_KEY。 就我而言,该键不会在应用程序运行时被完全隐藏。

无论如何,它为我提供了一个很好的机会来学习如何避免将密钥存储在代码本身中。 我借此机会在这里分享我的经验。 您可以在我的GitHub项目中获取所有详细信息。

我使用ES6,

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值