Как безопасно хранить ключ аутентификации?

Question

Taurus @Taurus

PHP
MySQL

Как безопасно хранить ключ аутентификации?

Есть небольшое приложение на php, которое подключается к внешнему сервису c использованием Bearer Authentication
и получает данные.
Заголовки при отправке

...
'headers' => [
                'Content-Type' => 'application/json',
                'Authorization' => 'Bearer ' . $key,
            ],
...

Приложение получает $key через web форму (method post).
Есть задача автоматизировать процесс получения данных, и запускать приложение по cron, например.
Хранить $key в открытом виде нельзя.
Необходимо сделать так, чтобы $key нельзя было ни при каких условиях расшифровать, даже если взломали сервер, получили все исходники и слили дамп базы и т.п.
Есть ли вообще способ безопасно постоянно хранить $key на сервере?

Вопрос задан более двух лет назад
156 просмотров

3 комментария

Подписаться 1 Средний 3 комментария

FanatPHP @FanatPHP

если взломали сервер, то никак
если слили исходники то не хранить в исходниках
если слили базу, то не хранить в базе
если слили итп, то не хранить в итп

Л - логика

Написано более двух лет назад
FanatPHP @FanatPHP

Храните, в общем, в оперативке - шаред мемори, APC вот это вот всё - я не знаю что там сейчас пых поддерживает из коробки
От человека, который имеет доступ к серверу, не спасёт, но по крайней мере будет пропадать с выключением питания

Написано более двух лет назад
Gennady S @gscraft

Да, FanatPHP прав, на самом деле никакие ключи доступа и никак не защищаются. Есть попытки такую защиту реализовать, например, привязкой к определенному клиенту, вроде как Secure Cookies или шифрование для защиты от перехваты посередине, но фактически, ни один механизм защиты не спасает от взлома, если злоумышленник получил доступ к серверу или клиенту — он может воспользоваться любыми ключами доступа где бы то ни было хранимыми. Можно усложнить жизнь злоумышленнику, обновляя токены или, действительно, храня в памяти, но доступ к машине это последний рубеж.

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+1 ещё

Средний
Как получить телефон из Google OAuth 2.0 API?
- 1 подписчик
- 46 минут назад
- 10 просмотров
0

ответов
PHP

+1 ещё

Средний
Как запускать PHP в терминале Netbeans?
- 1 подписчик
- час назад
- 22 просмотра
0

ответов
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 1 подписчик
- 2 часа назад
- 54 просмотра
0

ответов
PHP

+1 ещё

Простой
Как в php формировать ответ на AJAX XMLHttpRequest запрос?
- 1 подписчик
- вчера
- 92 просмотра
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- вчера
- 132 просмотра
2

ответа
PHP

Простой
Не работает часть скрипта PHP при смены PHP 7 на 8?
- 1 подписчик
- вчера
- 202 просмотра
3

ответа
MySQL

+1 ещё

Простой
Как извлечь топ 15 очков из таблицы чтобы игроки не дублировались?
- 1 подписчик
- вчера
- 104 просмотра
1

ответ
PHP

Средний
Как найти в массиве ответа API нужное значение, при том что значение может быть написано в разном регистре?
- 1 подписчик
- 22 апр.
- 142 просмотра
3

ответа
PHP

+1 ещё

Простой
Как отправить сообщение в определенную тему в группе Telegram боту на PHP?
- 1 подписчик
- 22 апр.
- 90 просмотров
1

ответ
PHP

+1 ещё

Простой
Почему не работает JWT поверка?
- 1 подписчик
- 22 апр.
- 70 просмотров
0

ответов
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Сайт с вебзвонками и чатами на react

24 апр. 2024, в 17:33

10000 руб./за проект

Правки в webApp готового и написанного телеграмм бота next, tailwind

24 апр. 2024, в 17:26

6000 руб./за проект

Доработать сайт на React + Nest

19 апр. 2024, в 13:38

1500 руб./в час

если взломали сервер, то никак
если слили исходники то не хранить в исходниках
если слили базу, то не хранить в базе
если слили итп, то не хранить в итп

Л - логика
Храните, в общем, в оперативке - шаред мемори, APC вот это вот всё - я не знаю что там сейчас пых поддерживает из коробки
От человека, который имеет доступ к серверу, не спасёт, но по крайней мере будет пропадать с выключением питания
Да, FanatPHP прав, на самом деле никакие ключи доступа и никак не защищаются. Есть попытки такую защиту реализовать, например, привязкой к определенному клиенту, вроде как Secure Cookies или шифрование для защиты от перехваты посередине, но фактически, ни один механизм защиты не спасает от взлома, если злоумышленник получил доступ к серверу или клиенту — он может воспользоваться любыми ключами доступа где бы то ни было хранимыми. Можно усложнить жизнь злоумышленнику, обновляя токены или, действительно, храня в памяти, но доступ к машине это последний рубеж.

Answer 1 · 2021-08-07 10:36:21

Даже с точки зрения здравого смысла это невозможно. Даже если будете хитро шифровать ваш ключ, у скрипта он в конечном итоге окажется в открытом виде, никто не помешает злоумышленнику его перехватить в этот последний момент, когда он расшифрован.

Answer 2 · 2021-08-07 14:26:56

Everything_is_not_so_bad @2ord

безопасно хранить ключ

Можно хранить в хранить в Hashicorp Vault, доступ по API.

Ответ написан более двух лет назад

Комментировать

Как безопасно хранить ключ аутентификации?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт