我们有一个位于可公开访问的服务器上的网站,该网站连接到Google的API之一。为了连接到Google API,我们需要接收一个包含密钥证书的.json文件,需要在运行时读取该文件。
我对在服务器上拥有如此重要的信息感到不满意,任何人只要登录服务器就可以窃取它。保护.JSON文件的最佳做法是什么?
我们的技术设置是该站点在Windows 2016服务器上运行。该网站是在IIS上运行的.NET Web API 2网站。
我考虑的是,是否有可能创建一个新用户,而不必担心其凭据被盗。仅用于授予该用户对该文件的读取访问权限。在那种情况下,我需要以该用户身份运行网站吗?
否则,在这种情况下保护文件凭据的最佳实践是什么?预先感谢您的帮助。