大家是如何保护安全密钥的呢

2018-10-22 16:44:34 +08:00

maliming

首先可以确定的是不能把密钥提交到 git 中.不管是开源还是内部项目.

然后开发和生产环境可能密钥还不一样.

so...大家是如何在保护安全密钥的呢? 有什么好的解决方案.

目前找到安全存储中 ASP.NET Core 中开发的应用程序机密
存储到服务器的环境变量中.
把密钥配置文件做 git 忽略.防止提交.

3601 次点击

所在节点

程序员

18 条回复

jsan

2018-10-22 16:46:51 +08:00

保密秘钥的最高进阶就是自己也忘记了

d0m2o08

2018-10-22 16:47:21 +08:00

从环境变量中加载的。。。

gam2046

2018-10-22 16:48:40 +08:00

运行环境封装成 Docker，所有的技术细节以及密钥都在里面，作为一个黑盒使用。其他程序数据通过 Volume 挂载进去。

2018-10-22 16:49:36 +08:00

环境变量应该是最简单的了。

likuku

2018-10-22 16:51:31 +08:00

@gam2046 [运行环境封装成 Docker，所有的技术细节以及密钥都在里面] 这和把密钥硬编码直接写在应用代码里有区别？

gam2046

2018-10-22 16:55:25 +08:00

@likuku docker 是支持环境变量以及参数的。

likuku

2018-10-22 17:00:24 +08:00

@gam2046 我知道 docker 支持环境变量和参数，但你 #3 里意思是 “把密钥也封装进 Docker ”里吧？

字面理解为：
“把应用代码，技术细节相关的算法配置和密钥，统统打包封装成 Docker 镜像”，

这等同于：“把密钥硬编码直接写在应用代码里” 吧？

gemini767

2018-10-22 17:54:38 +08:00

有效期越短越安全

gy911201

2018-10-22 17:58:33 +08:00

@likuku 我觉得应该是密钥使用环境变量装配，然后运行时使用 -e 注入吧……

LokiSharp

2018-10-22 18:05:43 +08:00

有效期三个月换一次

xcstream

2018-10-22 18:10:22 +08:00

服务器上一个文本文件

xiri

2018-10-22 18:12:59 +08:00

密钥不用保存，背下来（：逃

iwtbauh

2018-10-22 18:18:26 +08:00

把密钥加密不是常识吗

ywgx

2018-10-22 18:43:13 +08:00

微信收藏私钥

CrazyCodes

2018-10-22 18:47:45 +08:00

直接发 v2 上😄

iphoneXr

2018-10-22 19:09:02 +08:00

docker secret

honeycomb

2018-10-22 19:40:55 +08:00

这种事情用 spring cloud config 之类的集中管理工具是不是会好一些？

xuanbg

2018-10-23 09:07:38 +08:00

都写配置中心里面

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/499917

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.