在Heroku上托管的Ruby on Rails中开发应用程序。
我们的应用程序有多个不同的应用程序ID /密钥,由许多不同的服务(Facebook,Mixpanel等)分配。我们现在正在添加支付系统,因此我们计划使用Stripe。我们现在也有一个Stripe应用ID。
安全存储这些应用ID的最佳方法是什么?目前它们只是存储为rails环境变量。因此,所有员工都可以访问我们的所有应用ID。
假设某个工程师变得“流氓”......他们可能会毒害他们自己的DNS缓存并将我们的网站与他们控制的随机IP地址相匹配。因此,请求可能正在使用我们的应用程序ID,但正在运行我们尚未确定的交易。
以安全/安全的方式存储所有这些不同的应用ID的好方法是什么?如果我们的联合创始人之一拥有这些应用ID,我们会很好,但最好是应该有一种安全的方式来访问这些应用ID,而不必透露ID实际上是什么。
答案 0 :(得分:1)
这个问题不是通过技术解决,而是通过合同解决。与执行团队相比,开发人员将始终了解更多关于项目的信息,并且对项目有更多的亲密访问权限,除非您有义务担心(即遵守PCI或政府安全要求),否则您不应该这样做。
答案 1 :(得分:-1)
我不使用Heroku,但做了类似于他们在此描述的内容:https://devcenter.heroku.com/articles/config-vars
tl; dr:将您的ID放入环境变量