ape_api_key_锁定您的API_KEY以及为什么这很重要

最新推荐文章于 2024-08-10 12:13:10 发布
最新推荐文章于 2024-08-10 12:13:10 发布
阅读量828 收藏
点赞数
文章标签: java python vue 编程语言 linux ViewUI
原文链接:https://hackernoon.com/locking-down-your-api_key-and-why-that-is-important-yr9c38zh
版权
本文讨论了开发人员不应在代码中公开API_KEY的原因,因为这可能导致安全风险。通过使用webpack配置文件,可以更安全地管理和部署API_KEY,避免在GitHub等公共平台暴露。在开发和生产环境中,可以通过命令行参数传递API_KEY,同时在测试脚本中使用模拟,以保护关键信息。
摘要由CSDN通过智能技术生成

ape_api_key

您是否将钥匙留在大型停车场的车内? 如果没有,那么为什么要在Github项目中公开API_KEY?

通常使用Cloud服务部署应用程序,但它具有安全性。 云服务需要凭据,通常以API令牌的形式。 鬼nea的黑客搜索这些令牌,将其用作挖掘加密货币的计算资源,或使用它们访问敏感数据。

一种非常普遍的做法是扫描Web和公共工具(例如GitHub),以在不知不觉中公开访问的API密钥中进行搜索。 这给用户和云服务提供商都带来了重大风险。

主要问题是,历史上开发人员将api_keys存储在代码中

下面的代码并不难找到, 

# src/keys/api_key.js
SOME_SERVICE_API_KEY ='2es8-473t-43ef-a34d' # Don 't tell anyone!

许多开发人员不断在代码中公开其API密钥,然后将其推送到存储库中,然后瞧瞧!

显然,这是最不安全的方法,因为您要公开一个重要的秘密,这会大大增加秘密泄露的风险。

我必须开发一个项目作为任务,其中一项要求是使用“ The Movie Database API ”服务。 做到这一点的方法是在每次对该服务的调用中提供API_KEY。 就我而言,该键在应用程序运行时不会被完全隐藏。

无论如何,它为我提供了一个很好的机会来学习如何避免将密钥存储在代码本身中。 我借此机会在这里分享我的经验。 您可以在我的GitHub项目中获取所有详细信息。

我使用ES6, TypeScriptwebpack实现了分配,只是请注意,该解决方案可以在使用webpack的任何其他设置中使用。

使用webpack添加API_KEYS

就我而言,我想要一个非常简单的解决方案,其中只需为每个部署脚本设置API_KEY。

我使用了webpack的DefinePlugin ,这使我可以将API_KEY创建为可以在编译时配置的全局常量。 

new webpack.DefinePlugin({
  // Definitions...
});

我的webpack.config文件中的此定义如下所示: 

module .exports = env => {
  ...    
  plugins: [
      new webpack.DefinePlugin({
        'process.env.apiKey' : JSON .stringify((env && env.apiKey) || '' ),
     }),
  ],

请注意,使用功能而不是直接分配对象来设置module.exports很重要。 否则,您将无法访问env变量。

让我们深入了解配置文件

该配置应能够在开发和生产模式下为应用程序提供服务。 当然,如果您使用的是webpack,它还包含HMR(热模式重载)。

这是在开发模式下为应用提供服务的方式: 

TMDB_API_KEY=<yourTmdbApiKey>
npm run serve-dev  -- --env.apiKey=${TMDB_API_KEY}

并且,以生产模式提供服务: 

TMDB_API_KEY=<yourTmdbApiKey>
npm run build:webpack -- --env.apiKey=${TMDB_API_KEY} && \
 npm run serve-prod

请注意,在两种情况下,我都需要明确告知webpack我正在传递密钥。 看得出来--作为对自己的说法是所有UNIX命令标准化。 这意味着应将其他参数视为位置参数,而不是选项。

在这种情况下,这意味着-之后的参数应发送到命令serve-devbuild:webpack ,具体取决于您正在运行的脚本。

我在webpack.config文件的开头添加了以下代码,以确保无论运行该应用程序的人都知道需要API_KEY来运行脚本和加载该应用程序。 

if (!env || !env.apiKey) {
    throw new Error (
      'You need to specify your tmdb api-key. You can do so by specifying ' +
        '--env.apiKey=<yourkey> in the command line. For example:\n' +
        '$ npm run serve-dev  -- --env.apiKey=<yourkey>\n' +
        ' or \n' +
        '$ npm run build-webpack -- --env.apiKey=<yourkey> && npm run serve-prod' ,
    );
  }

至此,我已在配置文件中准备好一切。 我正在导入此模块并返回运行命令后获得的API_KEY。

我在使用该服务的api_key.js文件中有以下代码。 

export function getApiKey (): string  {
  if (!process.env.apiKey) {
    throw new Error (
      'You need to specify your tmdb api-key. You can do so by specifying ' +
        '--env.apiKey=<yourkey> in the command line. For example:\n' +
        '$ npm run serve-dev  -- --env.apiKey=<yourkey>' ,
    );
  }
  return process.env.apiKey;
}

我的package.json脚本看起来像… 

"serve-dev" : "webpack-dev-server --mode=development --config webpack.config.js" ,
"build:webpack" : "webpack --mode=production -p --config webpack.config.js" ,
"serve-prod" : "serve dist" ,
"test" : "jasmine-ts --config=spec/support/jasmine.json" ,
"test-watch" : "nodemon --ext ts --exec 'npm run test'" ,

但是,测试脚本会怎样?

通常我们不需要API_KEYS进行测试,我们应该模拟调用。 我知道,但是就我而言,我在测试中有一些代码可以间接调用返回API_KEY的函数。

如果您处于类似情况,则可以执行与我相同的操作。 为了避免使用适当的API_KEY,我在babel.js中添加了以下代码: 

// Global variables needed for api_key.ts.
// The function getApiKey() is not really needed for the tests (we mock the
// access to tmdb), but it is executed as part of the instantiation of the
// Injector class.
process = process || {};
process.env = process.env || {};
process.env.apiKey = 'dummy' ;

现在,只需运行npm测试脚本,而无需传递apy_key: 

npm runtest

这就是您所需要的,现在您应该准备运行您的应用程序,而无需在代码中指定api_keys。

如果您有任何建议或想法,请告诉我。

翻译自: https://hackernoon.com/locking-down-your-api_key-and-why-that-is-important-yr9c38zh

ape_api_key

dfsgwe1231
关注
锁定您的API_KEY以及为什么这很重要
编程故事的地方
08-26 1460
您是否将钥匙留在大型停车场的车内? 如果没有,那为什么还要在Github项目中公开API_KEY? 通常使用Cloud服务部署应用程序,但它具有安全性。 云服务需要凭证,通常以API令牌的形式。 鬼nea的黑客搜索这些令牌以用作挖掘加密货币的计算资源或使用它们访问敏感数据。 一种非常普遍的做法是扫描Web和公共工具(例如GitHub),以在不知不觉中公开访问的API密钥中进行搜索。 这给用户...
api.zip_ape 中文说明
09-21
API技术领域,"api.zip_ape 中文说明"是一个重要的资源,主要针对的是一个名为APEngine的系统或框架。这个压缩包包含了关于如何在APEngine中操作和使用特定元素,特别是圆形粒子的详细信息。从描述来看,我们可以...
报错解决方法UsageError: api_key not configured (no-tty). call wandb.login(key=[your_api_key])
qq_43732303的博客
06-05 6925
Wandb在第一次登录后,会把API key 自动添加到用户的netrc文件中,方便之后的登录。这个信息会出现在命令行中,表示Wandb已经将API密钥添加到用户的netrc文件中,以便后续登录时自动获取。wandb: Appending key for api.wandb.ai to your netrc file: C: \Users\Lenovo/.netrc的意思。将 “your_api_key” 替换为您在步骤1中获得的Wandb API密钥。
快试试用 API Key 来保护你的 SpringBoot 接口安全吧
最新发布
qq_53058639的博客
08-10 377
实现思路是从请求头中获取API Key,然后使用我们的配置检查秘钥。在这种情况下,我们需要在Spring Security配置类中添加一个自定义的Filter。我们将从实现GenericFilterBean开始。GenericFilterBean是一个基于接口的简单Spring实现。@Overridetry {我们只需要实现doFilter()方法,在这个方法中我们从请求头中获取API
Elasticsearch:创建 API key 接口访问 Elasticsearch
Elastic 中国社区官方博客
07-07 1万+
在之前我的文章 “Elastic:使用Postman来访问Elastic Stack” 中我介绍了如何在应用中访问 Elasticsearch。在那里,我们使用了最基本的 Basic authentication 的方法来访问 Elasticsearch。这种方法不好的地方就是每个用户所有的请求的验证都是一样的:使用的是同样的一个用户名及密码的 Base64 编码。在今天的文章中,我们将介绍如何创建 API key 来提供对 Elasticsearch 的访问。通过这个方法,一个用户可以动态生成无数个 AP
微信支付api_key
root_miss的博客
08-03 6579
1、登录商户后台 2、支付安全 3、安正验证证书 4、设置操作密码 5、设置api_key
把下面代码写成一个连续问答程序: import openai # 设置 API 密钥 openai.api_key = "YOUR_API_KEY" # 设置 chatgpt 模型的名称 mode...
weixin_42583683的博客
01-01 186
这个代码导入了 OpenAI 的库。这个库可以让你使用 OpenAI 的机器学习模型和工具。你可以使用这个库来进行自然语言处理、机器翻译、机器人对话等任务。你有什么问题可以问我呢? ...
CANape_Exercises.zip_CANape DAQ_CANape DAQ功能_CANapeFault.dmp_Ca
09-21
在这个名为“CANape_Exercises.zip”的压缩包中,包含的是关于CANape数据采集(DAQ)的练习资料,帮助用户深入理解和掌握CANape在数据采集方面的功能。 CANape的主要功能包括: 1. **CAN通信**:CANape支持多种...
ccp.zip_calibration_canape ccp_ccp CANAPE_ccp xc166_tool
07-15
CCP driver example.Implements the CCP module . used by the CANape CAN Calibration Tool.
BMS_UDS_Bootloader.rar_BMS上的UDS_Canape_UDS BMS_UDS BOOTLOADER_U
07-13
简要介绍bootloader开发关键步骤设置,同时,介绍canape下载脚本需要修改的地方
CCP-communicate-and-CANape-set.zip_Canape_标定 协议
07-14
介绍车用标定协议,CCP协议,及使用vector的工具CANape建立上位机
API key学习笔记
xiaomu_347的博客
06-05 1860
生成API key来调用API是为了安全、控制和管理API访问的。
从零开始学google地图API(1)--获取api_key并显示google地图
azraelxuemo的博客
06-16 3863
google 登录进去 ,如果有google账号就直接登录,如果没有就注册登录 进去之后大概这个样子 点击左边的Google地图会看到有很多api,选择你需要使用的 这里我们选择Maps JavaScript API 点击进去启用就可以 然后我们需要记住我们的api key 可以在凭据里面找到 <!DOCTYPE html> <html> <head> <script src="http://maps.googleapis.com/maps/api/js?key=
API Key Authentication¶
BLOG域名:programb.blog.csdn.net
04-25 165
MongoDB Logo ServerDriversCloudToolsGuides Get MongoDB Close × MongoDB Stitch Introduction Tutorials Users & Authentication Overview User Management Stitch Users Configure ...
获取谷歌地图的API KEY
xiaobai_2511的博客
05-04 1644
最近在鼓捣地图  由于不能上外网上周写了一个百度的地图   发现百度地图的显示的清晰度有限  在方法n次之后  就不能显示道路什么的 现在可以上外网了 就打算把google的地图加进来 思路和百度的差不多  1、获取google api key  这个api key百度以后都是用java的那个IDE弄的  就是为了获得计算机的MD5值 现在下面的程序也可以获取到MD5值 用来获得googl
基于URL生成API Key方法
beijixingtianyake的专栏
11-25 4977
转载地址:http://blog.sina.com.cn/s/blog_616acf520100kk3g.html 今天师兄让我设计地图API Key的实现方法,看了一下google、百度地图的API,大概整理一下流程,因为在网上很难查到相关的资料,菜鸟拿出来和大家分享一下。 1.         实现的前提        API Key与用户的帐户关联。     
获取android API key
liuhhaiffeng的专栏
12-31 5463
获取android API key   首先推荐一个软件“PowerCmd”,比Windows自带的Cmd.exe好用,可以方便复制粘贴等。下载:PowerCmd.zip  在Android开发过程中,如果要使用Google地图,就必须要申请apiKey。 申请步骤: 1. 获取你的debug keystore位置:          打开Eclipse--->Windows--->P
怎么获取 API Key:一步步指南
热门推荐
NHB234567的博客
03-20 1万+
在深入我们的主题之前,让我们先简单了解一下 API Key 到底是什么。API Key 基本上可以认为是一个长字符串,允许 API 消费者(即使用 API 的人)访问受限的功能和数据。它作为一种安全措施,确保了 API 服务能够控制谁有权限访问什么数据,同时也帮助跟踪API的使用情况。
_C.MODEL.SWIN.APE = False什么意思
03-09
这个问题是关于 CSDN 开发的 C 知道的技术问题,我可以回答。_C.MODEL.SWIN.APE = False 是一个配置参数,表示在 Swin Transformer 模型中是否使用 APE (absolute position encoding)。如果设置为 False,就表示不使用 APE
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值