Как хранить пароль и логин в веб-приложении?

Question

[password22]

Добрый день. Мне нужно обращаться со своего сайта к стороннему api, в котором требуется basic auth для получения данных.

Я уже весь интернет перерыл и не нашел ни одного адекватного ответа на данный вопрос.

Где и как мне безопасно хранить пароль и логин в моем сайте, или в базе данных с шифровкой, или в конфигах каких-то зашифрованных…? Как вообще подобное реализуется в продакшене?

Спасибо

Answer 1

[Василий Банников]

На бэкенде нет особой разницы, куда класть.
Вариант раз: в открытом виде в переменные среды, appsettings, или любой другой конфиг. Для удобства можно в base64 закодировать, но не обязательно.

Вариант два: секурно, но сложно. Используя внешний сервис наподобие Vault или Azure Key Vault.

UPD: совсем забыл. Никогда не коммить секреты в гит. Если закоммитишь и забудешь - замучаешься вычищать.
Именно по этой причине они должны быть в отдельных файлах храниться, а не в коде. А сами файлы - записаны в .gitignore

Comments

[password22]

Еще раз спасибо, помогли

[password22]

Обязательно послушаюсь вашего совета, спасибо

Answer 2

[Владимир Коротенко]

https://docs.microsoft.com/ru-ru/aspnet/core/secur...

Comments

[password22]

Как я понял эти секреты используются только во время разработки, разве нет?

[Владимир Коротенко]

password22, именно на проде. Хотя по большому секрету скажу все на это забивают. Собственно поэтому MS на гитхабе начало ругаться на пароли и строки соединения в открытом виде

[password22]

Владимир Коротенко, я понял, спасибо вам большое

[insighter]

password22, можно и не использовать секреты, тут вопрос для чего вам нужно скрывать эти данные, если для того чтобы они не попали на гитхаб, то можно использовать встроенную схему работы с конфигурациями

appsettings.json -- этот файл часть включен в проект и заливается на Гитхаб, содержит только имена параметров, без значений. Например, добавляете ключ "remoteUserName" : ""

appsettings.Development.json -- этот файл локальный и параметры из него берутся когда приложение запускается в режиме разработки. Например: "remoteUserName" : "логин_для_доступа". Этот файл необходимо прописать в .gitignore и хранить только локально. Информация в нем не зашифрована, но и в секретах она не шифруется просто хранится в AppData папке.

appsettings.Production.json -- аналогично варианту выше, но параметры берутся когда программа работает в боевом режиме.

[password22]

insighter, спасибо за объяснение!
Я просто везде читаю что не рекомендуется прямо в коде хранить какие-либо логины и пароли. Чтобы на гит хабе не было мне не надо, я этот проект делаю не для публикации

Просто необходимо чтобы этот логин и пароль было хотя бы непросто достать, если он кому-то понадобится.

У меня совсем мало опыта и я даже не понимаю, например если сохраню пароль в статической переменной проекта, сайт будет на сервере, и если он кому-то очень понадобится его смогут достать оттуда?…

Или может можно просто шифровать эти данные в бд, и при авторизации доставать их оттуда?

Не могу понять как безопаснее в принципе

[insighter]

password22, секреты можно настроить для продакшена, но это извращение, секреты скорее для режима разработки, что бы не заморачиваться где хранить credentials на момент разработки.

Для продакшена странно, что у человека будет доступ к месту где лежат бинарники, но ему нельзя смотреть что в них. Тогда уже права на файл назначить нужные.

Я не вижу конкретной ситуации когда даже шифрование будет решать проблемы с безопасностью. Если есть доступ к бинарникам, то будет возможность и отследить точку когда credentials вычитываются и попадают на отправку. Могу ошибаться конечно.

[password22]

insighter, понял, еще раз спасибо))
Для меня это бесценная информация

[Василий Банников]

Владимир Коротенко, Нет, не на проде.

Safe storage of app secrets in development in ASP.NET Core

The Secret Manager tool doesn't encrypt the stored secrets and shouldn't be treated as a trusted store. It's for development purposes only. The keys and values are stored in a JSON configuration file in the user profile directory.

[password22]

Василий Банников, да) это я и читал, спасибо

В итоге опять неясно где хранить всё это дело…. Буду пихать всё в appsettings.json

[Василий Банников]

password22, ну на бэке не очень критично, можно и в appsettings спокойно положить, или в переменные среды.
Если безопасность будет важна - прикрутишь потом Hashicorp Vault или какое-нибудь облачное решение типа Azure KeyVault.
Если данные будут храниться на той же машине, что и приложение, даже в зашифрованном виде - злоумышленнику будет не сложно все пароли/ключи из приложения и вытащить.

[password22]

Василий Банников, понял) спасибо вам большое