那些遇到过的问题

在服务器上存储API密钥和机密

Joh*_*ese 3 security encryption api-key

我有一个关于API密钥和机密的安全存储的问题.

这是我的情景:

我正在开发一个程序,用于收集/分析来自多个外部API的数据.数据相当敏感,API都需要密钥和密钥.我的软件将调用这些API,处理返回的数据并存储结果.我希望我最终会在"云端"中托管这个软件,这样我就可以获得最大的正常运行时间和可扩展性.

我的问题是,为我正在调用的外部API存储凭证(密钥和密钥)最安全/最好的方法是什么?

以下是我一直在考虑的一些事情,但我对任何事情都很开放......

  • 加密它们并存储在数据库中(使用时解密它们)
  • 加密它们并将它们存储在服务器上的平面文件中(使用时解密它们)
  • 将它们存储在具有更严格安全性的单独服务器上,并拨打电话获取信用.

Luk*_*ark 6

你将最终在这个上追逐你的尾巴,纯粹是因为服务器漏洞是游戏结束.您可以采取一些措施来减少服务器漏洞造成的损害,但没有什么是万无一失的.

考虑一下您概述的选项:

  • 加密数据库:攻击者可以从数据库中提取并以与服务器完全相同的方式进行解密.
  • 加密w/Flatfile:攻击者可以像服务器一样直接解密.
  • 独立服务器:攻击者可以像服务器一样调用单独的服务器.

我的观点是,您正在关注安全性的错误部分.如果攻击者获得对服务器的访问权限,那么它已经被游戏结束了.首先关注防止访问您的服务器.

归档时间:

查看次数:

1658 次

最近记录:

8 年,4 月 前
相关归档
使用StateServer的ASP.NET会话混合(SCARY!) 18
如何从.cer中提取RSA公钥并使用OpenSSL将其存储在.pem中? 13
localhost的自签名SSL证书,如何使其受信任 9
如何为巨大的数字实现c = m ^ e mod n? 7
防止对服务器的MITM攻击 6
在公共网站上显示TCM ID是否存在安全问题? 6
设置类似 chromium 的沙箱(错误 0xc00000a5) 5
无法通过密钥环文件启用加密 5
如何识别调用API端点的应用程序或网站? 2
如何在我的应用程序中避免反编译APK到Java文件 1
难疑归档
可以在JSON中使用注释吗? 7104
如何在JavaScript中检查empty/undefined/null字符串? 2645
什么时候使用自我超过$? 1948
Make .gitignore会忽略除少数文件之外的所有内容 1531
在C++中将int转换为字符串的最简单方法 1488
[Flags]枚举属性在C#中意味着什么? 1383
如何使用INER JOIN与SQL Server删除? 1181
在拉动期间解决Git合并冲突以支持其更改 1104
如何使用git merge --squash? 1101
如何列出包含给定提交的分支? 1029