+3
Có cách nào để quản lý tất cả secrets ko nhỉ?
Mn có để ý rằng mình thg bảo vệ các API keys và token lớn, nhg lại quên những thứ nhỏ như webhook URLs? Có cách nào để quản lý tất cả ko nhỉ?
1 CÂU TRẢ LỜI
0
Webhook không phải thông tin bí mật vì nó thường public ra môi trường internet. Hoặc bạn muốn gọi các internal service trong mạng cục bộ thì việc che dấu nó cũng không có nhiều ý nghĩa. Một điều nữa là các webhook thường expose ra đối với những user quản trị web, thường có thể sửa đổi qua giao diện. Việc quản lý nó như secret là không cần thiết.
Trong trường hợp muốn quản lý nó như secrets thì lưu nó vào một file config rồi quản lý nó như các file secret khác. Các secret ngoài token thì còn là các file config - settings.
Bn có thể thử mã hóa webhook URLs trc khi lưu hoặc sd các token xác thực cho từng webhook. nếu nền tảng hỗ trợ, thiết lập IP whitelist để giới hạn nguồn gửi yêu cầu tới webhook của bn
Theo mk, ko chỉ webhook URLs mà cả những thông tin nhỏ như credentials cho dịch vụ nội bộ cũng cần được bảo vệ. Nhưng mk cũng chuea bt làm sao để quản lý tất cả mà không quá phức tạp? Ae nào có kinh nghiệm chia sẻ thêm đi