【问题标题】:How to best handle Stripe API keys on the server如何最好地处理服务器上的 Stripe API 密钥
【发布时间】:2020-12-12 06:43:32
【问题描述】:

我想知道如何正确处理服务器上的 Stripe API 密钥。我正在使用 Stripes 计量计费功能,服务器自动向我的客户计费。因此,我非常关心 API 调用的安全性。 我最近发现,我可以在 Stripe 中设置受限的 APi 密钥。 (我觉得 Stripe API 教程中的一个功能压力不够大。)但是现在我想知道如何最好地处理服务器上的 Stripe 键。您是否将其加密存储(如果服务器被黑客入侵有什么真正的好处)?您是否将其存储为纯文本(在某些配置文件中)?你会存储它吗?我考虑手动将其复制粘贴到服务器应用程序中,因此它实际上仅存储在服务器应用程序内存中 - 你认为这将是一个真正的安全改进,以防某些东西被破坏?

关于安全性,似乎有很多值得怀疑的 Stripe API 教程 - 所以我认为在这里讨论一下生产级方法会很好。

【问题讨论】:

  • API 密钥一般应加密存储.. 纯文本不是不...但一般配置值存储在其他密钥管理系统的 Vaults 等解决方案中..
  • 好的,如果我将API密钥加密存储,我如何存储加密密钥?加密不只是将关键问题转移到加密系统上吗?
  • 是本地部署还是纯云部署?

标签: security server stripe-payments


【解决方案1】:

使用适合您的环境并经您的组织批准的秘密管理最佳做法。这可能是一个“环境变量”或随启动命令提供的东西。

https://stripe.com/docs/keys#safe-keys

如果您的集成被拆分为多个不需要广泛 API 访问的重点微服务,那么受限密钥是一种很好的方法。

https://stripe.com/docs/keys#limit-access

【讨论】:

  • 感谢您提供的链接,但是我没有看到任何关于我的问题的有价值的信息。我的问题基本上是如何处理密钥 - 如何正确处理它(不是疏忽)。从实际的角度来看——人们实际上是如何存储它的?又应该如何存储?
  • 那是因为它取决于你的服务器环境。有些会使用服务器上的私有文件,可能在运行时加密和解密。有些人会在 Netlify 或 Vercel 或 Glitch 上使用 env var 配置。有些人将使用 AWS/Google Cloud 密钥管理系统。除了像甘道夫所说的那样,没有通用的答案,“保守秘密,保证安全”。
猜你喜欢
  • 1970-01-01
  • 2018-06-12
  • 1970-01-01
  • 2012-01-14
  • 2021-08-19
  • 2010-10-31
  • 1970-01-01
  • 2013-07-16
  • 1970-01-01
相关资源
最近更新 更多