關於 key 這種東西,通常都是放在 .env 檔內沒錯
.env
至少沒放進 git repo,可以確保只有「擁有主機權限」的開發者可以拿到。
這樣就夠安全了:因為如果駭客連主機權限都拿到了,那代表系統被嚴重入侵了
工作上常用的 api key 又分兩種,前端用的&後端用的
前端用的 key 本來就容易在瀏覽器被洩露
後端用的 key 就不會
這兩種 key 要做兩種額外防護
前端的 key:請在 api 提供商那邊,設定「限制可存取的網域」,也就是只有用戶在逛特定網站才能使用 -> 一定要做,不然 key 會被別人拿去用
後端的 key:請在 api 提供商那邊,設定「限制可存取的 IP」,也就是只有在特定主機上才能使用 -> 其實不做也沒關係,後端的 key 不太會洩漏,就是多一層保障而已
所以,請查看一下你所使用的 api 管理面板,應該有可以設定的地方~
以上,簡單回饋,希望有回答到~
你的轉職路上,還缺少一份自學作業包!寫完這幾包,直接拿作品去面試上班!
本論壇另有附設一個 LINE 新手發問&交流群組!歡迎加入討論!
關於 key 這種東西,通常都是放在
.env
檔內沒錯至少沒放進 git repo,可以確保只有「擁有主機權限」的開發者可以拿到。
這樣就夠安全了:因為如果駭客連主機權限都拿到了,那代表系統被嚴重入侵了
工作上常用的 api key 又分兩種,前端用的&後端用的
前端用的 key 本來就容易在瀏覽器被洩露
後端用的 key 就不會
這兩種 key 要做兩種額外防護
前端的 key:請在 api 提供商那邊,設定「限制可存取的網域」,也就是只有用戶在逛特定網站才能使用 -> 一定要做,不然 key 會被別人拿去用
後端的 key:請在 api 提供商那邊,設定「限制可存取的 IP」,也就是只有在特定主機上才能使用 -> 其實不做也沒關係,後端的 key 不太會洩漏,就是多一層保障而已
所以,請查看一下你所使用的 api 管理面板,應該有可以設定的地方~
以上,簡單回饋,希望有回答到~