Q&A
ご回答ありがとうございます。
セキュアな状態でAPIキーを保管したいと考えております。
どのような場所・方法で保存すればセキュアなのかを知りたいです。
サンプルプログラムやWordpressのプラグインなどを確認するとデータベースに保管されていることが多いのですが、特に暗号化などされることなく保管されています。
実務としての経験が少ないため、その保管方法が一般的なのか、よりよい方法はないのかを知りたく質問させていただきました。
###前提・実現したいこと
Webサービスを構築しております。
例えばPaypalなどの外部サービスのAPIキーの保存場所は、下記のどちらが一般的でしょうか?
また、データベースに保存する場合は、暗号化した上で保存するのが一般的なのでしょうか。
暗号化して保存されている場合、どのような方式で暗号化されているのでしょうか。
①データベースに保存
②ファイルに保存
少し具体性にかける質問ですが、ご回答いただければ幸いです。
また、ご回答いただけるにあたって不足している情報などあれば、お手数ですがコメントいただければと思います。
以上、よろしくお願いいたします。
回答2件
0
ベストアンサー
APIキー 保存 方法
で google 検索すると、情報が得られると思います。
例:
-
Webアプリが利用するパスワードどこに保存しよう? http://qiita.com/tumf/items/a1ff7f0ff2bd71a024ce
ASP.NET Web アプリで、APIキーなどの "秘密のキー" をどこに保存するべきか? http://devadjust.exblog.jp/20400427/
web サーバー起動時のスクリプト中で環境変数で設定し、サーパーアプリ中ではその環境変数にアクセスする。
何らかの設定ファイルを作成し、サーバーアプリ中では、そのファイルにアクセスする。
などが一般的とおもわれます。
キーをそのまま記載するのが不安なら、適宜 暗号化して保存し、サーバーアプリ中で複合化することが考えられます。
暗号の手法としては AES256 などが良いとおもいます。
参考: AES256とは http://www.sophia-it.com/content/AES256
投稿2016/05/07 09:25
総合スコア22324
0
どちらでも良いような気がしますが、SDK等を見るとファイルに直接書くケースが多いように思えます。
質問の意図をもう少し明確にすると別の回答があるかもしれませんが。
投稿2016/05/07 08:48
退会済みユーザー
総合スコア0
sampleでDB保存が多いですか?wordpressのプラグインは、DB保存の方が簡単だからだと思います。
ファイルに書いたAPIキーが読まれるような状態であれば、そのサイトはDBの接続設定も読まれてます。気にすべきは保存場所ではなくて、サーバのセキュリティですね。
katoyさんの回答のQiitaの記事、イイですね。
推奨される保存箇所に関して、私の書いた回答は間違いですね。
ご返信が遅れ申し訳ありません。
ご回答いただきありがとうございました。大変助かりました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/05/10 03:39