【发布时间】:2021-07-24 04:59:03
【问题描述】:
我不确定我是否误解了某些内容,或者 Firebase 文档是否自相矛盾。
这里似乎建议将 api 密钥存储在 env 变量中: https://firebase.google.com/docs/functions/config-env 例如,要存储“某些服务”的客户端 ID 和 API 密钥,您可以运行: firebase 函数:config:set someservice.key="THE API KEY" someservice.id="THE CLIENT ID"
但这里似乎说永远不要这样做: https://firebase.google.com/support/guides/security-checklist#cloud_function_safety 云功能安全 切勿将敏感信息放入 Cloud Function 的环境变量中 通常在自托管 Node.js 应用程序中,您使用环境变量来包含敏感信息,例如私钥。不要在 Cloud Functions 中执行此操作。
【问题讨论】:
-
在谷歌云环境变量中存储第三方 api 密钥是安全的。
-
但 firebase 文档似乎说不是? firebase.google.com/support/guides/…
-
我认为两个链接是不同的(我认为不确定),但我刚刚发现“当您在 Google Cloud Platform (GCP) 应用程序中使用 API 密钥时,请注意确保它们的安全。.. . 与其将 API 密钥嵌入到应用程序中,不如将它们存储在环境变量中或应用程序源代码树之外的文件中。”复制自此线程support.google.com/googleapi/answer/…。
-
感谢您。我认为链接也不同,但很难确定。我认为会使用秘密管理器以防万一。它似乎比在 env 变量中以纯文本形式存储更安全。
-
很高兴为您提供帮助 :)
标签: firebase google-cloud-functions