sbu*_*rns 5 python logging heroku flask
我最近在Heroku上部署了一个Flask应用程序.它在现有API之上提供API,并且需要来自用户的原始服务的机密API密钥.该应用程序实际上只是几种形式,其值通过ajax传递到服务器上的特定URL.没有什么花哨.我采取措施不在应用程序中存储机密信息,并且在应用程序中的任何位置都不需要它的痕迹.
查看日志heroku logs --source heroku,heroku路由器进程存储应用程序的所有HTTP请求,包括那些包含机密信息的请求.
有没有办法为heroku进程指定日志格式,以便不存储所提供的URL?
正如其他评论者提到的,将机密信息放入 URL 中是一种不好的做法。这些可以在到服务器的往返过程中被许多系统(例如路由器、代理服务器、缓存)缓存或记录。有几种方法可以解决这个问题:
将它们放在 headerAuthorization中。这可能是基于 REST 的 API 处理身份验证的最常见方式。
将它们放入 POST 正文中。这可以将其从 URL 中取出,但从语义上讲,您将凭证 POST 到某些资源(如果这是 REST API)(如果这是 REST API),除非它是登录调用,这在语义上有点奇怪。
| 归档时间: |
|
| 查看次数: |
500 次 |
| 最近记录: |