使用 Httpful 和基本身份验证标头的 PHP API 调用

Question

我正在使用Httpful 调用使用基本身份验证标头的 API。

这是我的 GET 请求的设置方式：

<?php
include('httpful.phar');

$uri = "https://example.com";
$response = \Httpful\Request::get($uri)
    ->addHeader('Authorization', 'Basic KEY')
    ->send();
echo $response;
?>

这可以正常工作，我可以在我的 PHP 页面上显示响应数据。

但是，这是使用基本身份验证添加标头的最安全方法吗？我应该将身份验证密钥放入单独的文件还是更安全的文件中？

Answer 1

我应该将身份验证密钥放入单独的文件中

大概吧。作为一般规则，您永远不应该将身份验证凭据提交到您的源存储库。所以，如果这个文件是源代码控制的，我会取出硬编码的值并用一个变量替换它。

如何设置该变量取决于您的环境。通常从 JSON、INI 或 YML 配置文件中读取就足够了。只需确保您将 .gitignore（或等效文件）设置为从存储库中排除该配置文件，并确保该文件在网络服务器的文档根目录之外，因此无法直接读取.

注意，如果您已经提交了密钥，那么您需要更改它，因为它的当前值将永远存在于您的存储库历史中。