这是一个创建于 2551 天前的主题,其中的信息可能已经有所发展或是发生改变。
首先可以确定的是不能把密钥提交到 git 中.不管是开源还是内部项目.
然后开发和生产环境可能密钥还不一样.
so...大家是如何在保护安全密钥的呢? 有什么好的解决方案.
- 目前找到安全存储中 ASP.NET Core 中开发的应用程序机密
- 存储到服务器的环境变量中.
- 把密钥配置文件做 git 忽略.防止提交.
 | 1 jsan 2018-10-22 16:46:51 +08:00  2 保密秘钥的最高进阶就是自己也忘记了 |
 | 2 d0m2o08 2018-10-22 16:47:21 +08:00 1 从环境变量中加载的。。。 |
 | 3 gam2046 2018-10-22 16:48:40 +08:00 运行环境封装成 Docker,所有的技术细节以及密钥都在里面,作为一个黑盒使用。其他程序数据通过 Volume 挂载进去。 |
 | 4 loading 2018-10-22 16:49:36 +08:00 via Android 环境变量应该是最简单的了。 |
 | 7 likuku 2018-10-22 17:00:24 +08:00 @gam2046 我知道 docker 支持环境变量和参数,但你 #3 里意思是 “把密钥也封装进 Docker ”里吧? 字面理解为: “把应用代码,技术细节相关的算法配置和密钥,统统打包封装成 Docker 镜像”, 这等同于:“把密钥硬编码直接写在应用代码里” 吧? |
 | 8 gemini767 2018-10-22 17:54:38 +08:00 有效期越短越安全 |
 | 9 xiaolanglang 2018-10-22 17:58:33 +08:00 @likuku 我觉得应该是密钥使用环境变量装配,然后运行时使用 -e 注入吧…… |
 | 10 LokiSharp 2018-10-22 18:05:43 +08:00 via iPhone 有效期三个月换一次 |
 | 11 xcstream 2018-10-22 18:10:22 +08:00 服务器上一个文本文件 |
 | 12 xiri 2018-10-22 18:12:59 +08:00 via Android 密钥不用保存,背下来(:逃 |
 | 13 iwtbauh 2018-10-22 18:18:26 +08:00 via Android 把密钥加密不是常识吗 |
 | 14 ywgx 2018-10-22 18:43:13 +08:00 via Android 微信收藏 私钥 |
 | 15 CrazyCodes 2018-10-22 18:47:45 +08:00 直接发 v2 上 |
 | 16 iphoneXr 2018-10-22 19:09:02 +08:00 via Android docker secret |
 | 17 honeycomb 2018-10-22 19:40:55 +08:00 via Android 这种事情用 spring cloud config 之类的集中管理工具是不是会好一些? |
 | 18 xuanbg 2018-10-23 09:07:38 +08:00 都写配置中心里面 |
Select Language