貼文討論：個人專案 - 這樣做夠安全了嗎？

站長阿川 2個月前

關於 key 這種東西，通常都是放在 .env 檔內沒錯

至少沒放進 git repo，可以確保只有「擁有主機權限」的開發者可以拿到。

這樣就夠安全了：因為如果駭客連主機權限都拿到了，那代表系統被嚴重入侵了

工作上常用的 api key 又分兩種，前端用的＆後端用的

前端用的 key 本來就容易在瀏覽器被洩露

後端用的 key 就不會

這兩種 key 要做兩種額外防護

前端的 key：請在 api 提供商那邊，設定「限制可存取的網域」，也就是只有用戶在逛特定網站才能使用 -> 一定要做，不然 key 會被別人拿去用

後端的 key：請在 api 提供商那邊，設定「限制可存取的 IP」，也就是只有在特定主機上才能使用 -> 其實不做也沒關係，後端的 key 不太會洩漏，就是多一層保障而已

所以，請查看一下你所使用的 api 管理面板，應該有可以設定的地方～

以上，簡單回饋，希望有回答到～

👉 身份：資深全端工程師、指導過無數人半路出家轉職 👉 使命：打造 CodeLove 成為優質新手村，讓非本科也有地方自學＆討論