个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
人们说不要存储 API key 和密码配置文件,而是使用 Secrets 保险库。例如。 AWS 或 Azure。
但要访问这些,您需要 clientId 和 clientSecret。这些需要存储在应用程序的某个位置。例如应用程序配置。所以我真的不明白如果黑客可以在应用程序中使用 clientId 和 clientSecret 来获取密码或 api key ,这能解决什么问题?
这似乎比最初存储一个 api key 的问题更糟糕,因为如果他们能够访问 secret 管理器,他们将拥有所有 key 和所有密码。
最佳答案
AWS 提供了几种不同的服务来存储您的 secret 。假设如果您的应用程序配置文件中有数据库密码,则可以使用 AWS Secret manager 或 AWS Parameter store 将它们存储为 secret 。
要安全地检索这些值,您不必存储应用程序中存储的其他 secret 。您可以在 AWS 中使用一种称为基于角色的访问的机制。
如果您在 ec2 实例上运行应用程序,则可以配置 AWS 角色/配置文件并将其分配给安全链接 key 管理器和 ec2 计算机的 ec2 实例,并且您的应用程序具有连接来解密 key 并使用它位于应用程序内部。
关于azure - secret 金库 : how to encrypt clientId and clientSecret in a web app?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/68689837/
25
4
0
我已经使用 pip3.4 安装了 google-api-python-client 库,我正在按照 google 验证客户端库的教程进行操作,所以每次我运行 google 提供的 python 代码来
我下载了 katana 项目,想在沙箱项目中尝试客户端/服务器。 我在 OAuthValidateClientAuthenticationContext 遇到了一个问题: public bool Tr
我想将我的应用程序连接到 KeyVault。通常,我可以创建一个新客户端 key 并在我的代码中使用它。 var _keyVaultClient = new KeyVaultClient( a
我想将我的应用程序连接到 KeyVault。通常,我可以创建一个新客户端 key 并在我的代码中使用它。 var _keyVaultClient = new KeyVaultClient( a
我正在开发支持第三方服务的 oAuth2 身份验证的 Web 应用程序。所以我有我的 clientId 和 clientSecret key ,我用它们来授权我的应用程序。 我正在使用 Spring
我正在尝试将付款请求按钮集成到 Stripe 中。为此,我遵循文档(https://stripe.com/docs/stripe-js/elements/payment-request-button#
我可以看到一些 paypal 付款是使用 paypal clientId、ClientSecret 完成的,而其他类型的付款通常是 nvp payments 使用用户名、密码和签名进行付款。使用客户端
我知道这可能是一个古老的问题,但是......是否有任何最佳实践来保护客户端 secret 以在 AngularJS 应用程序中执行 OAuth2 身份验证?我一直在绞尽脑汁想出一种解决方案,从现代风
我组织中的云工程师已经设置了 Azure KeyVault 和服务主体。我知道此服务主体的 ID,但我还需要 clientId、clientSecret 和 tenantId。 The documen
我组织中的云工程师已经设置了 Azure KeyVault 和服务主体。我知道此服务主体的 ID,但我还需要 clientId、clientSecret 和 tenantId。 The documen
我已经在 paypal sandbox 帐户上成功测试了我的应用程序。现在我想在我的申请中使用我的真实账户。问题是我无法获得真实账户的 clientId 和 clientSecret。我浏览了 pay
我想听听您对隐藏 API key 和 secret key 的最佳方法的意见。 我找到了两种方法: 像这样使用 NDK:https://medium.com/@abhi007tyagi/storing
我想要自动化 Azure 资源管理,并且我正在使用 ARM 模板来实现此目的。 如果我想从 C# 代码(下载 Azure 导出模板时生成的 DeploymentHelper.cs)连接到 Azure。
人们说不要存储 API key 和密码配置文件,而是使用 Secrets 保险库。例如。 AWS 或 Azure。 但要访问这些,您需要 clientId 和 clientSecret。这些需要存储在
我试图将 stripe 支付网关提供的信用卡 token 传递给函数 stripe.handleCardPayment(clientSecret[, data])。在文档中[https://strip
CloudFoundry 的 UAA 有一个 RemoteTokenServices 类(也是 Spring oauth2 的一部分),它通过转到 UAA 服务器的 check_token 端点来执行
我正在尝试使用 ClientID 、 TennantID 和 ClientSecret 从 Java 代码 m 从 Azure 存储下载 blob 这是获取客户端的代码: private BlobCo
我正在使用我自己的ClientDetailsServiceConfigurer实现,所以我这样做: OAuthConfig.java @Override public void confi
我正在开发一个使用 Google Tasks API 的 WinRT 应用程序。目前,ClientSecret 和 ClientID 字符串嵌入在代码中。但是,我读到应该避免这种情况,因为 Windo
您好,我正在使用该代码在我的应用程序上检索身份验证 token : private String updateToken(boolean invalidateToken, int accountref
我是一名优秀的程序员,十分优秀!