Waar kan ik het beste een API key neerzetten?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Bryan De Baar

Bryan De Baar

14/05/2020 13:40:48
Quote Anchor link
Hallo,


Met jQuery haal ik wat info op met een API request. Hiervoor heb ik 2 sleutels die ik meegeef.
De jQuery code staat in een beveiligd gedeelte maar stel dat er iets veranderd op de server en de php code veranderd in platte tekst is natuurlijk mijn jQuery code en de keys zichtbaar. (Ik ga natuurlijk van het ergste uit)
Hoe kan ik dit het beste doen? Wat raden jullie aan?
 
PHP hulp

PHP hulp

21/11/2024 19:54:15
 
- Ariën  -
Beheerder

- Ariën -

14/05/2020 13:51:07
Quote Anchor link
Het beste is om deze key's in de PHP-code op te slaan, en bij sterke voorkeur in een speciale configuratie-file aanpasbaar te maken. En bij nog sterke voorkeur zelfs buiten je webroot te plaatsen.
Gewijzigd op 14/05/2020 13:51:30 door - Ariën -
 
Rob Doemaarwat

Rob Doemaarwat

14/05/2020 14:18:58
Quote Anchor link
jQuery is javascript, en die wordt in de browser uitgevoerd. Als je deze call dus via de client maakt zul je de key een keer naar de client moeten sturen (en dan kan de gebruiker 'm dus inzien). Dus je kunt 'm aan de server kant "veilig opslaan" wat je wilt, uiteindelijk moet je 'm (blijkbaar) toch een keer in plain-text uitserveren (aan potentieel de hele wereld). Wil je dat niet, dan zul je de call niet direct via jQuery moeten maken, maar via een proxy constructie op de server (jQuery maakt async call naar server, die voegt de key in en maakt de API call - en retourneert antwoord in omgekeerde richting). Dan hoeft de client je key nooit te zien.

Daarnaast (zoals altijd):
- buiten de web root
- misschien ook wel buiten je versiebeheer (ligt er aan waar je dat allemaal "laat slingeren")
~ sowieso handig als je een aparte key hebt voor je lokale / ontwikkelomgeving

Dan kun je 'm evt. nog encrypten, maar als jij 'm kunt decrypten kan iemand anders met inzage in de broncode dat ook (en als ze al buiten je webroot kunnen rondstruinen, dan kunnen ze waarschijnlijk ook wel je PHP code inzien).
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.