安全地在会话中存储API密钥吗？

Question

设想情况：

• App托管在共享服务器上(宿主提供商可以看到配置文件，如果他们愿意)。
• 应用程序必须使用第三方服务的API密钥。

考虑到这种“预算紧张”的情况，是否最好在每次登录时输入API键并将其存储在会话变量中，而不是存储硬编码(例如，在config.php中)？或者在您的软件中存储第三方API密钥的更好方法是什么？

Answer 1

不，将其存储在会话变量中并不能防止主机提供商窃取它。

会话变量要么是每个请求来回发送的cookie，要么是服务器端会话。无论哪种方式，服务器都可以访问密钥，任何控制服务器的人也可以访问。

因此，它不会增加安全性，听起来会带来很大的不便，而且可能会使您受到其他威胁(比如漏饼干对第三方的威胁)。

作为一个普遍的经验法则，API键应该是任何人都可以访问的。如果服务器是使用密钥的服务器，则客户端与其无关。

您可以将其存储在服务器上，并在登录时使用登录信息对其进行解密。它仍然是安全剧场，但至少它不会给您(用户)带来初始设置之外的不便。