我正在开发一个需要与金融机构集成的应用程序,由于缺乏API,我通过简单的curl访问它们,需要在配置中指定我的金融机构的用户名和密码。
现在这种配置在开发和生产环境中会有所不同。在生产过程中,客户端将指定自己的用户名和密码,但如果出现问题,我们开发人员有时需要访问代码,可以查看用户名和密码。
为了安全性和完整性我更喜欢配置已加密,因此我们只看到一个加密值,这可以保护它们免受大洞的侵害。当他们想要更改值时需要输入密码进行解密,但是我需要再次在db或文本中保存解密密码,这会再次损害他们的安全性。
第二,因为配置是加密的,在应用程序使用期间必须解密配置,以便代码可以访问服务,这也是我需要在db或text中保存解密密码。
对于上述情况,加密似乎没有完整的解决方案。是否有理论来实现这一点(上面的阻止文本)?
目前我们的应用程序处于LAMP环境中。