如何在静态网站中安全存储API密钥

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何在静态网站中安全存储API密钥相关的知识,希望对你有一定的参考价值。

我是一个由AWS s3托管并由cloudfront服务的SPA网站有多个CNAME连接到该网站,例如A.Mysite.com,B.Mysite.com我有一个静态网站连接到的API,仅当请求来自A.Mysite.com时才为A提供内容,如果请求来自B.Mysite.com则为B提供内容]

我应该在哪里存储API密钥?我猜想在客户端公开API密钥不是一个好主意吗?我已经浏览了OAuth,JWT令牌等。似乎无论如何,如果我没有服务器,我仍然必须向客户端发送访问密钥...

[请帮助我理解这一点,因为我非常困惑在没有服务器的情况下如何实现静态站点和API之间的安全性。

答案

您是否研究过环境变量?

https://www.twilio.com/blog/2017/08/working-with-environment-variables-in-node-js.html

https://hackernoon.com/how-to-use-environment-variables-keep-your-secret-keys-safe-secure-8b1a7877d69c

以上是关于如何在静态网站中安全存储API密钥的主要内容,如果未能解决你的问题,请参考以下文章

仅由 API Gateway 访问的私有 S3 静态网站

存储桶文件更改后,如何清除静态 Cloud Storage 网站上的缓存?

使用Apache服务部署静态网站

快速部署Apache服务静态网站

如何通过节点 expressjs 从 s3 提供静态网站?

使用 Apache 服务部署静态网站