0

我正在使用Httpful调用使用基本身份验证标头的 API。

这是我的 GET 请求的设置方式:

<?php
include('httpful.phar');

$uri = "https://example.com";
$response = \Httpful\Request::get($uri)
    ->addHeader('Authorization', 'Basic KEY')
    ->send();
echo $response;
?>

这工作正常,我能够在我的 PHP 页面上显示响应数据。

但是,这是使用基本身份验证添加标头的最安全方法吗?我应该将身份验证密钥放入单独的文件还是更安全的文件中?

4

1 回答 1

1

我应该将身份验证密钥放入单独的文件中吗

大概。作为一般规则,您永远不应该将身份验证凭据提交到您的源存储库。所以,如果这个文件是源代码控制的,我会提取硬编码的值并用一个变量替换它。

如何设置该变量取决于您的环境。通常从 JSON、INI 或 YML 配置文件中读取就足够了。只需确保将 .gitignore(或等效文件)设置为从存储库中排除该配置文件,并确保该文件位于Web 服务器的文档根目录之外,因此无法直接读取。

请注意,如果您已经提交了密钥,那么您需要更改它,因为它的当前值将永远存在于您的存储库历史记录中。

于 2017-04-10T20:51:51.603 回答