【发布时间】:2020-09-24 22:38:57
【问题描述】:
阅读大量关于人们如何处理 api 密钥的帖子和文章。我认为有些人通过节点服务器获取 api 密钥是安全的,有些人将其存储在 .env 文件中。
我读过的帖子示例
- https://www.rockyourcode.com/secret-keys-in-react/
- https://github.com/react-boilerplate/react-boilerplate/issues/1744#issuecomment-303112505
我的情况:
目前我将我的 API KEY 存储在 .env 文件中,因为我在 React 中丑化我的代码。即使通过 Inspect Element 也无法读取这些文件,但现在 我所有的 api 密钥都以可读格式公开。
我的用例:
我的网站不需要登录,因此不需要身份验证。基本上它是用于 Firebase 分析的 API KEY。我认为在这里创建一个节点服务器来获取 api 密钥没有意义吗? (同样,我不需要身份验证)
如何更好地处理 API KEY?
【问题讨论】:
-
感谢胡安分享链接。它有助于我理解公开配置不是安全风险(使用适当的安全规则),谢谢!就我而言,我不使用 CloudFirestore/CloudStorage/RealtimeDatabase.. 因此安全规则对我来说并不重要,我认为正如我所说的那样,我使用的是 firebase 分析。再次感谢! (: