我正在使用Httpful来调用使用基本身份验证标头的API。
以下是我的GET请求的设置方式:
<?php
include('httpful.phar');
$uri = "https://example.com";
$response = \Httpful\Request::get($uri)
->addHeader('Authorization', 'Basic KEY')
->send();
echo $response;
?>
这样可以正常工作,我可以在PHP页面上显示响应数据。
但是,这是使用基本身份验证添加标头的最安全方式吗?我应该将auth密钥放在单独的文件中还是更安全的东西?
答案 0 :(得分:1)
我是否应该将身份验证密钥放入单独的文件
可能。作为一般规则,您绝不应将身份验证凭据提交到源存储库。因此,如果此文件是源代码控制的,我将提取硬编码值并将其替换为变量。
如何设置该变量取决于您的环境。通常,从JSON,INI或YML配置文件中读取就足够了。只需确保设置.gitignore(或等效文件)以从存储库中排除该配置文件,并确保该文件在外部 Web服务器的文档根目录,以便无法直接读取
注意,如果您已经提交了密钥,那么您将需要对其进行更改,因为其当前值将永久存在于您的存储库历史记录中。