Symfony, как безопасно хранить API ключи?

Question

[symnoob]

Всем привет, есть ли возможность безопасного хранения API ключей в Symfony?
Или такую информацию как номера кредитных карт?

Заранее спасибо.

Answer 1

[Flying]

В Symfony 4.4 будет добавлена возможность безопасного хранения ключей, подробнее в анонсе.

Comments

[symnoob]

Звучит почти круто, а как быть с Базами? Например номера кредитных карт?

[Flying]

symnoob, Полные номера карт обычно хранят только платёжные сервисы, а они сертифицируются по PCI DSS в котором подробно расписано что и как хранить. Если вам надо писать сервис который будет сертифицироваться по PCI DSS - то вопросы по нему лучше явно задавать не здесь, а читать соответствующие спецификации, если же нет - то вы не храните полные номера. Обычно это только последние 4 цифры или первые 4 и последние 4, а их можно и в открытом виде хранить.

В целом только номер карты (без остальной информации) не является приватным, уверен что вы сами сталкивались с сервисами "перевести по номеру карты", так что можно хранить и целиком, но если вам не надо с этой информацией работать - то лучше хранить только частичный номер.

Для привязки карт вы связываетесь с платёжным шлюзом, он выполняет привязку и хранит карту у себя, а вам отдаёт только токен. Хранить ли его в открытом виде - вопрос неоднозначный, можно и зашифровать чтобы при утечке базы их не могли быстро получить.

[symnoob]

А какой нибудь простой бандл есть для шифрования и расшифрования текста, чтобы бала возможность шифрования в 256 бит?

[Flying]

symnoob, Для шифрования начиная с 7.2 в стандартной поставке PHP идёт модуль sodium, являющийся обёрткой над криптографической библиотекой libsodium. Если вам нужен более высокоуровневый интерфейс - то обратите внимание на paragonie/halite, работающий всё с тем же sodium.

Однако ваше замечание о 256 битах, возможно, говорит о том что вам нужно хэширование, а не шифрование. Для этого в PHP есть встроенные функции.

[symnoob]

Насколько я понял то хэш не льзя вернуть в исходное состояние. Это правильно?

[Flying]

symnoob, Да, правильно, для шифрования хэши не подходят, у них другая задача. Именно для шифрования необходимо использовать либо симметричное либо ассмметричное шифрование.