API යතුරු වැනි රහස් තොරතුරු ප්‍රභව පාලනයෙන් බැහැරව තබා ගැනීමේ උපායමාර්ගය?

මම වැඩ කරන්නේ ට්විටර්, ගූගල් වැනි වෙබ් අඩවි වලින් OAuth අක්තපත්‍ර භාවිතා කර පරිශීලකයින්ට ප්‍රවේශ වීමට ඉඩ සලසන වෙබ් අඩවියක ය. මෙය සිදු කිරීම සඳහා, මට මෙම විවිධ සැපයුම්කරුවන් සමඟ ලියාපදිංචි වී මා සතුව ඇති සුපිරි රහස් API යතුරක් ලබා ගත යුතුය. ශරීරයේ විවිධ කොටස් වලට එරෙහිව ප්‍රති led ා දී ආරක්ෂා කිරීමට. මගේ යතුර ගංවතුරට ලක් වුවහොත්, එම කොටස ගිලිහී යයි.

සත්‍යාපන ඉල්ලීම් ඉටු කිරීම සඳහා ධාවන වේලාවේදී API යතුර මගේ ප්‍රභවය සමඟ ගමන් කළ යුතුය. මගේ නඩුවේදී, යතුර වින්‍යාස ගොනුවක හෝ කේතය තුළම යෙදුම තුළ තිබිය යුතුය. මම තනි යන්ත්‍රයකින් ගොඩනඟා ප්‍රකාශයට පත් කරන විට එය ගැටළුවක් නොවේ. කෙසේ වෙතත්, අපි ප්‍රභව පාලනය මිශ්‍රණයට විසි කරන විට, දේවල් වඩාත් සංකීර්ණ වේ.

මම ලාභ අවජාතකයෙකු බැවින්, වලාකුළෙහි TFS හෝ GitHub වැනි නිදහස් ප්‍රභව පාලන සේවා භාවිතා කිරීමට මම කැමැත්තෙමි. මෙය මට සුළු සංසිද්ධියක් ඇති කරයි:

මගේ API යතුරු මගේ කේතයේ ඇති විට සහ මගේ කේතය පොදු ගබඩාවක ඇති විට මගේ ශරීරය නොවෙනස්ව තබා ගන්නේ කෙසේද?

මෙය හැසිරවිය හැකි ක්‍රම ගණනාවක් ගැන මට සිතිය හැකිය, නමුත් ඒ කිසිවක් තෘප්තිමත් නොවේ.

• මට සියලු පුද්ගලික තොරතුරු කේතයෙන් ඉවත් කර යෙදවීමෙන් පසු එය නැවත සංස්කරණය කළ හැකිය. මෙය ක්‍රියාත්මක කිරීම සඳහා දැඩි වේදනාවක් වනු ඇත (මම බොහෝ ක්‍රම විස්තර නොකරමි) එය විකල්පයක් නොවේ.
• මට එය සංකේතනය කළ හැකිය. නමුත් මට එය විකේතනය කළ යුතු බැවින්, ප්‍රභවය ඇති ඕනෑම කෙනෙකුට එය කරන්නේ කෙසේදැයි සොයා ගත හැකිය. තේරුමක් නැති.
• පුද්ගලික මූලාශ්‍ර පාලනය සඳහා මට ගෙවිය හැකිය. LOL j / k මුදල් වියදම් කරනවාද? කරුණාකර.
• මගේ අනෙක් ප්‍රභවයන්ගෙන් සංවේදී තොරතුරු වෙන් කිරීමට මට භාෂා අංග භාවිතා කළ හැකි අතර එම නිසා එය ප්‍රභව පාලනයෙන් වළක්වා ගත හැකිය. මම දැන් කරන්නේ මෙයයි, නමුත් රහස් ගොනුවේ වැරදියට පරීක්ෂා කිරීමෙන් එය පහසුවෙන් ඉවතට ගත හැකිය.

සංවර්ධනය, නිදොස් කිරීම සහ යෙදවීම තුළින් සුමටව ක්‍රියා කරන සහ මෝඩයන් නොවන මගේ පෞද්ගලික දේ ලෝකය සමඟ (ස්නැප්චැට් හැර) බෙදා නොගන්නා බවට සහතික වීමට මම සැබවින්ම සොයමි. මෙය සම්පූර්ණයෙන්ම යථාර්ථවාදී නොවේ. ඉතින් මට යථාර්ථවාදීව කළ හැක්කේ කුමක්ද?

_{තාක්ෂණික විස්තර: VS2012, C # 4.5, ප්‍රභව පාලනය TF සේවාව හෝ GitHub වනු ඇත. ප්‍රභව පාලනයට එකතු නොවන සංවේදී යතුරු වෙනම .cs ගොනුවකට බෙදීමට දැනට අර්ධ පන්තියක් භාවිතා කරයි. අර්ධ පංති ගොනුව පරීක්ෂා කර නොමැති බව සහතික කිරීම සඳහා .gitignore භාවිතා කළ හැකි බැවින් GitHub හි වාසිය තිබිය හැකි යැයි මම සිතමි, නමුත් මම මීට පෙර එය ඉවත දැමුවෙමි. "අනේ, පොදු ප්‍රශ්නයක්, ඔබ මෙය කරන්නේ කෙසේද" යන්න බලාපොරොත්තුවෙන් සිටිමි, නමුත් මට "එය තිබිය හැකි තරම් උරා නොගන්නා" සඳහා විසඳුම් ලබා දිය යුතුය,: /}

ඔබගේ රහස් තොරතුරු ඔබේ කේතයට ඇතුළත් නොකරන්න. ආරම්භයේදීම ඔබේ කේතය කියවන වින්‍යාස ගොනුවකට එය දමන්න. වින්‍යාස ලිපිගොනු අනුවාද පාලනයට ඇතුළත් නොකළ යුතුය, ඒවා "කර්මාන්තශාලා පෙරනිමි" නොවේ නම්, ඉන්පසු ඒවාට පුද්ගලික තොරතුරු නොතිබිය යුතුය.

මෙය හොඳින් කරන්නේ කෙසේද යන්න පිළිබඳ අනුවාදය පාලනය සහ පුද්ගලික වින්‍යාස ගොනුවද බලන්න .

ඔබට සියලු පුද්ගලික / ආරක්ෂිත යතුරු පද්ධති පරිසර විචල්‍යයන් ලෙස තැබිය හැකිය. ඔබගේ වින්‍යාස ගොනුව මේ ආකාරයෙන් පෙනෙනු ඇත:

private.key=#{systemEnvironment['PRIVATE_KEY']}

අපි එම අවස්ථා හසුරුවන ආකාරය මෙයයි. එය විවිධ දේපල ලිපිගොනු සහ පැතිකඩ සමඟ හොඳින් ක්‍රියා කරයි. විවිධ පරිසරයන් සඳහා අපි විවිධ දේපල ගොනු භාවිතා කරමු. අපගේ දේශීය සංවර්ධන පරිසරය තුළ දේශීය සැකසුම සරල කිරීම සඳහා අපි සංවර්ධන යතුරු දේපල ලිපිගොනු තුළ තබමු:

private.key=A_DEVELOPMENT_LONG_KEY

පිරිසිදු Git මාර්ගය

• .gitignore පුද්ගලික දත්ත සමඟ ගොනුව ඇතුළත් කර ඇත
• ඔබ ප්රතිස්ථාපනය දේශීය ශාඛා, භාවිතා කරන්න TEMPLATEසමගDATA
• (දේශීය) ෆිල්ටරයේ ස්ක්‍රිප්ට් ද්විපාර්ශ්වික ප්‍රතිස්ථාපනය සිදු කරන ස්මඩ්ජ් / පිරිසිදු ෆිල්ටර භාවිතා කරන්න TEMPLATE<->DATA

රසදිය

• ව්‍යාජ කේතයට ඉහළින් ඇති MQ-patch (es), එය ප්‍රතිස්ථාපනය TEMPLATEකරයි DATA(වෙනස් කිරීම් පොදු වේ, පැච් පුද්ගලිකයි)
• විෙශේෂෙයන් නිර්මාණය කරන ලද පදය සහිත පදය දීර් extension කිරීම (පුළුල් කරන ලද්දේ ඔබගේ වැඩ කරන නාමාවලිය තුළ පමණි )

SCM- අ nost ෙයවාදී ක්‍රමය

• ගොඩනැගීමේ / යෙදවීමේ ක්‍රියාවලියේ කොටසක් ලෙස මූල පද ප්‍රතිස්ථාපනය කරන්න

මම රහස් සංකේතාත්මක ගොනුවලට ඇතුළත් කරමි. පද්ධතිය දියත් කරන විට පාස් වාක්‍යය සපයනු ලැබේ, නැතහොත් එය මා විසින් සිදු නොකරන කුඩා ගොනුවක ගබඩා කර ඇත. මෙම සංකේතාත්මක ලිපිගොනු සතුටින් කළමනාකරණය කිරීමට Emacs කටයුතු කිරීම සතුටක්. උදාහරණයක් ලෙස, emacs init ගොනුවට ඇතුළත් වන්නේ: ("secrets.el.gpg" පටවන්න), එය ක්‍රියාත්මක වන්නේ - මා සංස්කාරකය ආරම්භ කරන විට එම දුර්ලභ අවස්ථාවන්හි මුරපදය ඉල්ලා සිටිනු ඇත. කවුරුහරි ගුප්තකේතනය බිඳ දැමීම ගැන මම කණගාටු නොවෙමි.

මෙය ඉතා ඇන්ඩ්‍රොයිඩ් / ශ්‍රේණියේ විශේෂිත නමුත් ඔබට gradle.propertiesපිහිටා ඇති ඔබගේ ගෝලීය ගොනුවේ යතුරු නිර්වචනය කළ හැකියuser home/.gradle/ . බිල්ඩ් ටයිප් හෝ රසය අනුව විවිධ ගුණාංග භාවිතා කළ හැකි බැවින් මෙයද ප්‍රයෝජනවත් වේ.

gradle.properties

MY_PRIVATE_API_KEY=12356abcefg

build.gradle

buildTypes {
        debug{
            buildConfigField("String", "GOOGLE_VERIFICATION_API_KEY", "\"" + MY_PRIVATE_API_KEY +"\"")
            minifyEnabled false
            applicationIdSuffix ".debug"
            }
        }

කේතයෙන් ඔබ මේ ගැන සඳහන් කරයි

String myAPI = BuildConfig.GOOGLE_VERIFICATION_API_KEY;

එම යතුර ඔබේ යෙදුම සමඟ බෙදා හැරීමට හෝ ප්‍රභව කේත ගබඩාවේ ගබඩා කිරීමට ඔබ සිතන්නේ නැත. මෙම ප්‍රශ්නය එය කරන්නේ කෙසේදැයි අසයි, එය සාමාන්‍යයෙන් සිදු නොවේ.

ජංගම වෙබ් යෙදුම

ඇන්ඩ්‍රොයිඩ් / අයිෆෝන් සඳහා, යෙදුම පළමු වරට ක්‍රියාත්මක වන විට උපාංගය ඔබේ වෙබ් සේවාවෙන් KEY ඉල්ලා සිටිය යුතුය. යතුර පසුව ආරක්ෂිත ස්ථානයක ගබඩා කර ඇත. යතුර ප්‍රකාශකයා විසින් වෙනස් කළ යුතුද නැතහොත් අවලංගු කළ යුතුද? ඔබේ වෙබ් සේවයට නව යතුරක් ප්‍රකාශයට පත් කළ හැකිය.

සත්කාරක වෙබ් යෙදුම

ඔබේ මෘදුකාංගයේ බලපත්‍රයක් භාවිතා කරන ගනුදෙනුකරුවන්ට පළමු වරට මෘදුකාංගය වින්‍යාස කිරීමේදී යතුර අතින් ඇතුල් කිරීමට සිදුවේ. ඔබට සෑම කෙනෙකුටම එකම යතුරක්, විවිධ යතුරු ලබා දිය හැකිය, නැතහොත් ඒවා ඔවුන්ගේම වේ.

ප්රකාශිත මූලාශ්ර කේතය

ඔබ ඔබේ ප්‍රභව කේතය පොදු ගබඩාවක ගබඩා කර ඇති නමුත් KEY නොවේ. ගොනුව වින්යාසය දී ඔබ රැහැන් එකතු * අද මෙහි ප්රධාන * . සංවර්ධකයෙකු ඔබේ ප්‍රභව කේතය භාවිතා කරන විට ඔවුන් sample.cfgගොනුවේ පිටපතක් සාදා ඔවුන්ගේම යතුරක් එක් කරයි.

ඔබේ config.cfgගොනුව සංවර්ධනය හෝ නිෂ්පාදනය සඳහා භාවිතා කරන ගබඩාවේ තබා නොගනී .

එක් එක් සේවාදායකය සඳහා වෙනස් වන රහස් දේවල් සඳහා පරිසර විචල්‍යයන් භාවිතා කරන්න.

http://en.wikipedia.org/wiki/En Environment_variable

ඒවා භාවිතා කරන්නේ කෙසේද යන්න භාෂාව මත රඳා පවතී.

මම හිතන්නේ මෙය සෑම කෙනෙකුටම යම් වේලාවක යම් ගැටලුවක් වී ඇති ප්‍රශ්නයක්.

මෙන්න මම භාවිතා කළ වැඩ ප්‍රවාහයක්, එය ඔබට වැඩ කළ හැකිය. එය .gitignore භාවිතා කරයි.

1. සියලුම වින්‍යාස ගොනු විශේෂ ෆෝල්ඩරයකට යයි (w / නියැදි වින්‍යාස ගොනු - අත්‍යවශ්‍ය නොවේ)
2. සියලුම වින්‍යාස ගොනු .gitignore හි ඇතුළත් කර ඇති බැවින් ඒවා පොදු නොවේ
3. පුද්ගලික පෙට්ටියක ගිටොලයිට් සේවාදායකයක් (හෝ ඔබේ ප්‍රියතම git සේවාදායකය) සකසන්න
4. පුද්ගලික සේවාදායකයේ ඇති සියලුම වින්‍යාස ගොනු සමඟ repo එකක් එක් කරන්න
5. ප්‍රධාන repo හි ඇති විශේෂ ෆෝල්ඩරයට වින්‍යාස ගොනු පිටපත් කිරීමට ස්ක්‍රිප්ට් එකක් එක් කරන්න (අත්‍යවශ්‍ය නොවේ)

දැන්, ඔබට ඕනෑම සංවර්ධන හා යෙදවීමේ පද්ධතියකට වින්‍යාස කිරීමේ ක්ලෝනය ක්ලෝන කළ හැකිය. ලිපිගොනු නිවැරදි ෆෝල්ඩරයට පිටපත් කිරීමට ස්ක්‍රිප්ට් ධාවනය කර ඔබ ඉවරයි.

ඔබ තවමත් සියලු GitHub කැන්ඩි ලබා ගනී, ඔබේ කේතය ලෝකය සමඟ බෙදා ගන්න, සංවේදී දත්ත කිසි විටෙකත් ප්‍රධාන ගබඩාවේ නොමැත, එබැවින් ඒවා ප්‍රසිද්ධියට පත් නොවේ. ඒවා තවමත් ඕනෑම යෙදවීමේ පද්ධතියකින් away ත්වී පිටපතක් පමණි.

මම පුද්ගලික git සේවාදායකය සඳහා වසරකට 15 $ / කොටුවක් භාවිතා කරමි, නමුත් ලාභ අවශ්‍යතාවයට අනුව ඔබට නිවසේදීම එකක් සැකසිය හැකිය ;-)

PS: ඔබට git subodule ( http://git-scm.com/docs/git-submodule ) භාවිතා කළ හැකිය , නමුත් මට සෑම විටම විධානයන් අමතක වේ, එබැවින් ඉක්මන් හා අපිරිසිදු නීති!

ගුප්තකේතනය භාවිතා කරන්න, නමුත් ආරම්භයේදී ප්‍රධාන යතුරක් ලබා දෙන්න, කොන්සෝලයේ මුරපදයක් ලෙස, ගොනුවක් තුළ ක්‍රියාවලියේ පරිශීලකයාට පමණක් කියවිය හැකිය, නැතහොත් මැක් ඕඑස් යතුරුපුවරුව හෝ වින්ඩෝස් යතුරු ගබඩාව වැනි පද්ධති සපයන යතුරු ගබඩාවකින්.

අඛණ්ඩව බෙදා හැරීම සඳහා, ඔබට විවිධ යතුරු කොතැනක හෝ පටිගත කිරීමට අවශ්‍ය වනු ඇත. වින්‍යාසය කේතයෙන් වෙන් කළ යුතුය, නමුත් එය සංශෝධන පාලනය යටතේ තබා ගැනීම අර්ථවත් කරයි.

3 උපායමාර්ග, තවමත් සඳහන් කර නැත (?)

VCS හි පෙර පරීක්ෂා කිරීමේදී හෝ කොක්කෙන් පරීක්ෂා කරන්න

• ඉහළ එන්ට්‍රොපිය සහිත නූල් සොයන්න, උදාහරණ- අනාවරණය-රහස්
• regex සුප‍්‍රසිද්ධ API යතුරු රටා සෙවීම. AWS හි AKIA * යතුරු උදාහරණයකි, git-secrets යනු එය මත පදනම් වූ එක් මෙවලමකි. එසේම, නිරන්තර පැවරුම් සහිත 'මුරපදය' වැනි විචල්ය නම්.
• දන්නා රහස් සොයන්න- ඔබ ඔබේ රහස් දන්නවා, ඒවා සඳහා පෙළ සොයන්න. නැතහොත් මෙවලමක් භාවිතා කරන්න, මම මෙම සංකල්පය සනාථ කළෙමි .

දැනටමත් සඳහන් කර ඇති උපාය මාර්ග

• ප්‍රභව ගසෙන් පිටත ගොනුවේ ගබඩා කරන්න
• එය ප්‍රභව ගසෙහි තබා ගන්න, නමුත් එය නොසලකා හරින ලෙස VCS ට කියන්න
• පරිසර විචල්‍යයන් යනු ප්‍රභව ගසෙන් පිටත දත්ත ගබඩා කිරීමෙහි විචලනයකි
• සංවර්ධකයින්ට වටිනා රහස් ලබා නොදෙන්න

පුද්ගලික තොරතුරු ඔබගේ ප්‍රභව පාලනයෙන් බැහැරව තබන්න. බෙදා හැරීම සඳහා පටවා නැති පෙරනිමියක් සාදන්න, සහ ඔබේ VCS සැබෑ එක නොසලකා හරින්න. ඔබගේ ස්ථාපන ක්‍රියාවලිය (අත්පොත, වින්‍යාස කිරීම / ගොඩනැගීම හෝ විශාරද වේවා) නව ගොනුව නිර්මාණය කිරීම සහ ජනගහනය කිරීම හැසිරවිය යුතුය. අවශ්‍ය පරිශීලකයාට (වෙබ් සේවාදායකය?) පමණක් එය කියවිය හැකි බව සහතික කිරීම සඳහා ගොනුවේ අවසරයන් විකල්ප වශයෙන් වෙනස් කරන්න.

ප්‍රතිලාභ:

• සංවර්ධන ආයතනය == නිෂ්පාදන ආයතනය යැයි නොසිතයි
• සියලුම සහයෝගිතාකරුවන් / කේත සමාලෝචකයින් විශ්වාසදායක යැයි නොසිතයි
• අනුවාද පාලනයෙන් බැහැරව තබා ගැනීමෙන් පහසු වැරදි වළක්වා ගන්න
• QA / බිල්ඩ් සඳහා අභිරුචි වින්‍යාසය සමඟ ස්ථාපනයන් ස්වයංක්‍රීය කිරීමට පහසුය

ඔබ දැනටමත් මෙය කරමින් සිටින අතර අහම්බෙන් එය පරීක්ෂා කරන්නේ නම්, එය ඔබේ ව්‍යාපෘතියට එක් කරන්න .gitignore . මෙය නැවත කිරීමට නොහැකි වනු ඇත.

එහි සිටින පෞද්ගලික නිධි සපයන පමණ නිදහස් Git සත්කාරක ඕන තරම්. ඔබ කිසි විටෙකත් ඔබේ අක්තපත්‍ර සංස්කරණය නොකළ යුතු වුවද, ඔබට ලාභදායී විය හැකි අතර පුද්ගලික ගබඩාවන් ද තිබිය හැකිය. ^ _ ^

OAuth යතුර ඕනෑම තැනක අමු දත්ත ලෙස ගබඩා කර තබනවා වෙනුවට, කිසියම් සංකේතාංකන ඇල්ගොරිතමයක් හරහා නූල ධාවනය කර එය ලුණු දැමූ හැෂ් ලෙස ගබඩා නොකරන්නේ ඇයි? ධාවන වේලාවේදී එය ප්‍රතිස්ථාපනය කිරීමට වින්‍යාස ගොනුවක් භාවිතා කරන්න. ඒ ආකාරයෙන් යතුර සංවර්ධන පෙට්ටියක හෝ සේවාදායකයේම ගබඩා කර තිබේද යන්න කොතැනකවත් ගබඩා නොවේ.

ඔබේ සේවාදායකය ස්වයංක්‍රීයව නව ලුණු සහිත හා හැෂ් කළ API යතුරක් ඉල්ලීම් පදනමක් මත ජනනය කරන ආකාරයේ API එකක් පවා ඔබට නිර්මාණය කළ හැකිය, එමගින් ඔබේ කණ්ඩායමට පවා OAuth ප්‍රභවය දැකිය නොහැක.

සංස්කරණය කරන්න: සමහර විට ස්ටැන්ෆර්ඩ් ජාවාස්ක්‍රිප්ට් ක්‍රිප්ටෝ පුස්තකාලය උත්සාහ කරන්න , එය සුරක්ෂිත සමමිතික සංකේතනය / විකේතනය සඳහා ඉඩ ලබා දේ.