moodna
70
2022-02-21 15:56:48
3
369

api key 배포


안녕하세요. 다름이 아니라 보안 관련해서 질문이 있어 글을 올립니다..


제가 예전에 api-key를 그대로 깃허브에 업로드 하니까 보안상 위험하다고 메일이 온 후로 평소에 api-key나 특정 리소스의 이름 같은거는 따로 파일을 만들어서 ignore 시켜서 업로드를 안 하고 있었습니다. 깃허브로 웹사이트를 호스팅하려고 하니까 당연하게도 그런 파일들을 public으로 올려야 호스팅이 가능 하더라구요..


질문은 https://openweathermap.org/api 이러한 사이트에서 무료로 발급 받은 api-key 등을 깃허브에 배포해도 보안상으로 괜찮을까요? 구글에 어떤 사례는 이러한api-key를 공개로 전환했다가 몇분만에 해킹 당했다는 얘기가 있어서.. 위 사이트 가입에 이메일과 비밀번호만 요구하고 결제방식은 따로 등록이 안 돼 있습니다.


+) 추가로 이러한 api-key로 어떻게 결제수단이나 다른 정보를 캐낼 수 있는 건가요? api-key마다 회원 정보가 암호화 돼 있는걸까요?

0
  • 답변 3

  • 멍게맛소주
    359
    2022-02-21 16:27:11

    보안 상으론, 어떠한 키도 배포 안하는게 좋습니다.


    보안 방법에 따라 다르지만,

    단순히 회원 정보, 이름 아이디를. JWT로 묶어서 제공하는 곳을 본 적 있습니다. 

  • kenu
    63k
    2022-02-21 17:23:19

    환경변수로 코드 밖으로 빼는 것을 추천합니다.

  • moodna
    70
    2022-02-22 18:36:33

    멍게맛소주 kenu 제가 질문하고 확인이 늦었네요.. 감사합니다!! 👦🏻👦🏻

  • 로그인을 하시면 답변을 등록할 수 있습니다.