Как я могу сделать запрос API с внешнего интерфейса через сервер, чтобы мой ключ API не был виден конечному пользователю?

Question

Я исследовал, что если я хочу скрыть свои ключи API, я должен делать запросы через серверную часть.

Как лучше всего скрыть мои ключи API? И, пожалуйста, не предлагайте использовать переменные среды, я хотел бы знать, как лучше всего делать запросы API через сервер к серверу API.

Answer 1

К сожалению, и против вашей просьбы не предлагать это, переменные ENV являются отраслевым стандартом. Делая это следующим образом:

1. Вам не нужно фиксировать свои ключи API в хранилище кода
2. Вы можете изменить их на лету и перезапустить систему, чтобы забрать ихили код таким образом, чтобы они выбирались заново каждый раз, когда они необходимы
3. Они не попадают в код вашего пользовательского интерфейса, видимый миру, и впоследствии видимый в каждом отправляемом вами запросе.

Еще один способ - хранить значения учетных данных в базе данных. Но у вас есть сценарий курица / яйцо там. Где вы собираетесь хранить свои учетные данные БД, чтобы вы могли получить доступ к БД? Не могу зайти в БД, потому что ты не сможешь их прочитать. Вы должны будете поместить их в переменную окружения или зафиксировать учетные данные БД в репозитории кода - и это не лучшая практика.