【发布时间】:2015-04-30 06:59:51
【问题描述】:
对于我们的门户开发,我们决定使用 Apigee 将 Web 服务公开给门户。目前我将 API 密钥和 Api URL 存储在项目的属性文件中。任何人都可以提供一些关于如何将 API 密钥与属性文件分开保存的指针。
在这种情况下,任何指针都会有所帮助。
问候 水汪汪
【问题讨论】:
标签: apigee key-management
【发布时间】:2015-04-30 06:59:51
【问题描述】:
API 密钥通常由 API 使用者持久保存 - 通常是某种应用程序。对于移动应用程序,它们中的每一个都有一个 API 密钥或客户端 ID,通常保存在应用程序内部的某种安全数据存储中。对于其他类型的 API 使用者(例如 Web 应用程序),API 密钥可能会保存在安全保险库或具有某些加密功能的数据库中。
【讨论】:
我假设您的 Web 门户应用程序驻留在企业内部的安全机器上,并且该机器的访问受到限制。如果是这种情况,则需要考虑最低限度的安全性 但是,如果密钥是高权限密钥并且您可以单独使用密钥访问 API(即没有秘密),则不建议将其保存为纯文本。 你可以 1.加密保存在config文件中,运行时解密 2. 加密并存储在数据库或您用于存储凭据的其他安全存储中。
【讨论】: