Ali*_*owe 10 firebase google-cloud-functions
我正在编写一些 Firebase Cloud Functions,但我需要隐藏私钥,包括来自 Firebase 项目管理员的私钥。
如果我将此密钥嵌入到我的源代码中并自己上传代码,那么任何人都可以检索到源代码和密钥吗?通过 Firebase 还是 Google?
非常感谢
Fra*_*len 10
您的应用程序用户永远无法访问您的 Cloud Functions 代码。
但是,您的 Firebase 项目的协作者可以访问它。请参阅从我之前部署的 firebase 控制台获取代码
我认为没有任何方法可以向合作者隐藏此类配置值。由于他们可以查看/部署代码,并且代码需要访问此私钥,因此根据定义,他们也可以访问该密钥。
准确回答您的问题:是的,他们可以。
一步步实现比较简单
如果人们能够看到环境变量对你来说是个问题,这里有一种方法可以让事情变得更安全:
您可以在已有的基础上进行构建,并开始加密这些密钥,然后再将它们添加到代码库或环境变量中。之后,您可以使用KMS等加密服务在运行时解密这些密钥。在 KMS 本身中,您可以制定更严格的策略,只允许您自己和功能访问该服务。
GCP 的另一项出色服务是Google 的 Secret Manager
| 归档时间: |
|
| 查看次数: |
8525 次 |
| 最近记录: |