0

我想使用 Node.js (MEAN.io Fullstack) 开发简单的网络应用程序。我使用 Passport 作为身份验证中间件。我特别希望在我的应用程序上用户可以使用 Twitter 帐户登录。

我在 config/production.js 文件中定义的 API 密钥和 API 机密是否“安全”。有人能看到它们的价值并滥用它们吗?

4

1 回答 1

2

它们与您的服务器一样安全。如果有人闯入您的服务器,则它可以完全访问源代码以及 API 密钥。
如果您信任您的代码来存储数据库、盐(例如会话 cookie)等的密码,那么您也可以信任它来存储您的 API 密钥。
请注意,将 API 密钥存储在源/配置文件中是非常标准的(在非公开访问的文件夹中 - 例如,“public/”就是这样)。

于 2014-03-20T15:47:29.047 回答