【发布时间】:2020-12-12 06:43:32
【问题描述】:
我想知道如何正确处理服务器上的 Stripe API 密钥。我正在使用 Stripes 计量计费功能,服务器自动向我的客户计费。因此,我非常关心 API 调用的安全性。 我最近发现,我可以在 Stripe 中设置受限的 APi 密钥。 (我觉得 Stripe API 教程中的一个功能压力不够大。)但是现在我想知道如何最好地处理服务器上的 Stripe 键。您是否将其加密存储(如果服务器被黑客入侵有什么真正的好处)?您是否将其存储为纯文本(在某些配置文件中)?你会存储它吗?我考虑手动将其复制粘贴到服务器应用程序中,因此它实际上仅存储在服务器应用程序内存中 - 你认为这将是一个真正的安全改进,以防某些东西被破坏?
关于安全性,似乎有很多值得怀疑的 Stripe API 教程 - 所以我认为在这里讨论一下生产级方法会很好。
【问题讨论】:
-
API 密钥一般应加密存储.. 纯文本不是不...但一般配置值存储在其他密钥管理系统的 Vaults 等解决方案中..
-
好的,如果我将API密钥加密存储,我如何存储加密密钥?加密不只是将关键问题转移到加密系统上吗?
-
是本地部署还是纯云部署?
标签: security server stripe-payments