Cómo almacenar de forma segura las claves API de terceros directamente en el servidor web

3

Estoy creando una aplicación web privada que planeo usar entre mí y algunos amigos seleccionados. Cada uno de nosotros tiene claves de API para un servicio de terceros al que mi aplicación web necesita acceder para poder llamar a las API de servicios de terceros y devolver los datos que queremos evaluar juntos.

Debido a que esta es una aplicación web privada / estática, no siento la necesidad de almacenar estas claves en una base de datos y espero almacenarlas directamente en mi servidor web.

Si tomo esta ruta, ¿cuáles son los principales riesgos de seguridad? ¿Debo considerar de alguna manera cifrar estas claves API en el disco de mi servidor web y descifrarlas dentro de mi aplicación web solo cuando necesito usarlas? (Si es así, ¿alguna orientación sobre esto?)

He hecho desarrollo web estándar desde hace mucho tiempo, pero carezco terriblemente de mi conocimiento de la seguridad web. ¡Apreciaría cualquier orientación o pensamiento!

    
pregunta RxMarcus 11.02.2018 - 07:33
fuente

1 respuesta

0

Una recomendación sería especificar las claves de API en el script que ejecuta su servidor de aplicaciones. Asegúrese de que los permisos de la secuencia de comandos sean solo de ejecución, propiedad de un usuario dedicado. Su aplicación puede leer esas claves a través de variables de entorno o sistema.

    
respondido por el HTLee 11.02.2018 - 22:12
fuente

Lea otras preguntas en las etiquetas