私は、キーとクレデンシャルを使用して支払いゲートウェイ、データベースプロバイダなどの外部サービスからAPIエンドポイントを呼び出すWebアプリケーションを使用しています。Webアプリケーションの秘密鍵と認証情報はどこに保管しますか?
私は、これらの値に保つために心の中でこれらのオプションを持っている:アプリ開始する前に、環境変数を設定し
- をし、アプリの実行時にロードします。必要な値が利用できない場合、たとえば設定されていない場合は、アプリを終了します。
- アプリが起動すると、ユーザー(自分または管理者)に資格情報を入力するように依頼します。必要なフィールドが空の場合は終了し、それ以外の場合はアプリの読み込みを続行します。
- 設定ファイルにプレーン値として保存します。これは私にとっては最も好ましくない方法です。
可能な限り安全で安全なキーを保持するには、これらのうちどれを使用しますか?
これはあなたのためによく見えます。https://www.vaultproject.io/ –