这是一个创建于 2566 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先可以确定的是不能把密钥提交到 git 中.不管是开源还是内部项目.
然后开发和生产环境可能密钥还不一样.
so...大家是如何在保护安全密钥的呢? 有什么好的解决方案.
- 目前找到安全存储中 ASP.NET Core 中开发的应用程序机密
- 存储到服务器的环境变量中.
- 把密钥配置文件做 git 忽略.防止提交.
 |
1
jsan 2018-10-22 16:46:51 +08:00  2
保密秘钥的最高进阶就是自己也忘记了
|
 |
2
d0m2o08 2018-10-22 16:47:21 +08:00 1
从环境变量中加载的。。。
|
 |
3
gam2046 2018-10-22 16:48:40 +08:00
运行环境封装成 Docker,所有的技术细节以及密钥都在里面,作为一个黑盒使用。其他程序数据通过 Volume 挂载进去。
|
 |
4
loading 2018-10-22 16:49:36 +08:00 via Android
环境变量应该是最简单的了。
|
 |
7
likuku 2018-10-22 17:00:24 +08:00
@gam2046 我知道 docker 支持环境变量和参数,但你 #3 里意思是 “把密钥也封装进 Docker ”里吧?
字面理解为: “把应用代码,技术细节相关的算法配置和密钥,统统打包封装成 Docker 镜像”, 这等同于:“把密钥硬编码直接写在应用代码里” 吧? |
 |
8
gemini767 2018-10-22 17:54:38 +08:00
有效期越短越安全
|
 |
9
xiaolanglang 2018-10-22 17:58:33 +08:00
@likuku 我觉得应该是密钥使用环境变量装配,然后运行时使用 -e 注入吧……
|
 |
10
LokiSharp 2018-10-22 18:05:43 +08:00 via iPhone
有效期三个月换一次
|
 |
11
xcstream 2018-10-22 18:10:22 +08:00
服务器上一个文本文件
|
 |
12
xiri 2018-10-22 18:12:59 +08:00 via Android
密钥不用保存,背下来(:逃
|
 |
13
iwtbauh 2018-10-22 18:18:26 +08:00 via Android
把密钥加密不是常识吗
|
 |
14
ywgx 2018-10-22 18:43:13 +08:00 via Android
微信收藏 私钥
|
 |
15
CrazyCodes 2018-10-22 18:47:45 +08:00
直接发 v2 上😄
|
 |
16
iphoneXr 2018-10-22 19:09:02 +08:00 via Android
docker secret
|
 |
17
honeycomb 2018-10-22 19:40:55 +08:00 via Android
这种事情用 spring cloud config 之类的集中管理工具是不是会好一些?
|
 |
18
xuanbg 2018-10-23 09:07:38 +08:00
都写配置中心里面
|
Select Language