Как безопасно хранить ключ аутентификации?

Question

Taurus @Taurus

PHP
MySQL

Как безопасно хранить ключ аутентификации?

Есть небольшое приложение на php, которое подключается к внешнему сервису c использованием Bearer Authentication
и получает данные.
Заголовки при отправке

...
'headers' => [
                'Content-Type' => 'application/json',
                'Authorization' => 'Bearer ' . $key,
            ],
...

Приложение получает $key через web форму (method post).
Есть задача автоматизировать процесс получения данных, и запускать приложение по cron, например.
Хранить $key в открытом виде нельзя.
Необходимо сделать так, чтобы $key нельзя было ни при каких условиях расшифровать, даже если взломали сервер, получили все исходники и слили дамп базы и т.п.
Есть ли вообще способ безопасно постоянно хранить $key на сервере?

Вопрос задан более трёх лет назад
165 просмотров

3 комментария

Подписаться 1 Средний 3 комментария

FanatPHP @FanatPHP

если взломали сервер, то никак
если слили исходники то не хранить в исходниках
если слили базу, то не хранить в базе
если слили итп, то не хранить в итп

Л - логика

Написано более трёх лет назад
FanatPHP @FanatPHP

Храните, в общем, в оперативке - шаред мемори, APC вот это вот всё - я не знаю что там сейчас пых поддерживает из коробки
От человека, который имеет доступ к серверу, не спасёт, но по крайней мере будет пропадать с выключением питания

Написано более трёх лет назад
Gennady S @gscraft

Да, FanatPHP прав, на самом деле никакие ключи доступа и никак не защищаются. Есть попытки такую защиту реализовать, например, привязкой к определенному клиенту, вроде как Secure Cookies или шифрование для защиты от перехваты посередине, но фактически, ни один механизм защиты не спасает от взлома, если злоумышленник получил доступ к серверу или клиенту — он может воспользоваться любыми ключами доступа где бы то ни было хранимыми. Можно усложнить жизнь злоумышленнику, обновляя токены или, действительно, храня в памяти, но доступ к машине это последний рубеж.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

+1 ещё

Простой
Как обновить PHP на сайте?
- 1 подписчик
- 15 часов назад
- 108 просмотров
2

ответа
PHP

+1 ещё

Средний
Yii2-dynamic-form при добавлении строки слетает кодировка. Как решить?
- 1 подписчик
- 17 часов назад
- 20 просмотров
1

ответ
PHP

+1 ещё

Простой
Как исправить "Undefined array key «login»,"password" в $_POST?
- 1 подписчик
- 21 час назад
- 78 просмотров
1

ответ
PHP

+3 ещё

Простой
Firefox больше не отправляет в HTTP_ACCEPT image/webp?
- 3 подписчика
- вчера
- 535 просмотров
2

ответа
PHP

+1 ещё

Простой
Как корректно распределить сумму внутри элементов массива?
- 1 подписчик
- вчера
- 85 просмотров
1

ответ
PHP

+2 ещё

Сложный
Как обойти блокировку серверов CloudFlare на уровне провайдера?
- 1 подписчик
- 20 нояб.
- 4124 просмотра
6

ответов
PHP

Простой
Как трансформировать массив?
- 1 подписчик
- 20 нояб.
- 136 просмотров
1

ответ
MySQL

+2 ещё

Средний
Почему падает соединение с mysql за nginx?
- 2 подписчика
- 19 нояб.
- 164 просмотра
0

ответов
PHP

+1 ещё

Простой
Как решить проблему с выводом PHP из MSSQL?
- 1 подписчик
- 19 нояб.
- 133 просмотра
1

ответ
PHP

Средний
Как выявить символы не поддерживаемые кодировкой?
- 2 подписчика
- 18 нояб.
- 227 просмотров
1

ответ
Показать ещё Загружается…

PHP-разработчик

Decart IT-production

от 260 000 до 340 000 ₽

Разработчик PHP

Автомакон

от 206 000 ₽

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

Обновить дизайн карты метро Москвы

24 нояб. 2024, в 13:04

500 руб./в час

Сделать сайт на Tilda

24 нояб. 2024, в 12:29

3000 руб./за проект

Сделать 5 видеобэкграундов для выступления детей

24 нояб. 2024, в 12:25

500 руб./за проект

если взломали сервер, то никак
если слили исходники то не хранить в исходниках
если слили базу, то не хранить в базе
если слили итп, то не хранить в итп

Л - логика
Храните, в общем, в оперативке - шаред мемори, APC вот это вот всё - я не знаю что там сейчас пых поддерживает из коробки
От человека, который имеет доступ к серверу, не спасёт, но по крайней мере будет пропадать с выключением питания
Да, FanatPHP прав, на самом деле никакие ключи доступа и никак не защищаются. Есть попытки такую защиту реализовать, например, привязкой к определенному клиенту, вроде как Secure Cookies или шифрование для защиты от перехваты посередине, но фактически, ни один механизм защиты не спасает от взлома, если злоумышленник получил доступ к серверу или клиенту — он может воспользоваться любыми ключами доступа где бы то ни было хранимыми. Можно усложнить жизнь злоумышленнику, обновляя токены или, действительно, храня в памяти, но доступ к машине это последний рубеж.

Answer 1 · 2021-08-07 10:36:21

Даже с точки зрения здравого смысла это невозможно. Даже если будете хитро шифровать ваш ключ, у скрипта он в конечном итоге окажется в открытом виде, никто не помешает злоумышленнику его перехватить в этот последний момент, когда он расшифрован.

Answer 2 · 2021-08-07 14:26:56

d'Ivan @2ord

безопасно хранить ключ

Можно хранить в хранить в Hashicorp Vault, доступ по API.

Ответ написан более трёх лет назад

Комментировать

Как безопасно хранить ключ аутентификации?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт