我最近有一位开发人员为我创建了一个网络应用程序,它实际上允许用户从我的网站访问其卖家帐户的详细信息。
然而,在查看代码(下面)后,我在amazon-config.php文件中看到了这个。注意:我已在下面删除了我的详细信息。
$store[SellerID] = 'The users store ID';
$store[Marketplace] = 'ATVPDKIKX0DER';
$store[AccessKey] = 'My Access Key';
$store[SecretKey] = 'My Secret Access Key';
$store[AuthToken] = 'The users MWS Auth token';
我担心的是,使用此代码我在网络服务器(Guava)的配置文件中以纯文本形式提供了访问密钥和秘密访问密钥。我的理解是,如果有人要获取此文件中的信息,那么他们几乎可以对我的亚马逊帐户做任何事情。
这是从我的网络应用程序安全访问亚马逊MWS API的最佳方式吗?或者是否有一种更安全的方式,不涉及以纯文本形式添加我的详细信息?
任何有关更好方法的例子都将受到赞赏。我已经在网上看了,并且已经阅读了有关IAM用户密钥的内容,但这似乎只引用了AWS API,而不是MWS(不确定它们是如何相互关联的)。我还读到你不应该将密钥直接嵌入到代码中。
感谢您提供的任何帮助。
答案 0 :(得分:0)
只需要考虑几点...... 1.我同意将它们升级或使用数据库表,但认为后者是最好的,因为我认为你应该使用一个已批准的用户名单SellerIds。
最坏的情况是MWS支持可以生成一组新密钥
我不会在市场中硬编码...美国市场可以是统一NA帐户的一部分,用户可能也需要访问CA或MX。