在开源项目中隐藏敏感数据
Hinding sensitive data in Open Source projects
我想构建一个 Oauth v2 登录系统。我得到了一个 client_secret ,这是不应该被公开的。由于该项目是开源的,我应该如何向其他人隐藏 client_secret 。是否存在只有原始创建者才能访问这些敏感数据的系统?
此外,是否建议将 Auth 令牌保存在后端文件中并使用函数调用它?方法是否有任何安全问题?
我的项目在 JS、React 和 node 上,如果有帮助的话。
最简单的方法是创建一个配置文件,供您的项目在启动时读取。此配置文件不会包含在源代码存储库中,只是一个不包含 client_secret.
的示例版本
此外,添加一个自述文件,描述从何处以及如何获取 client_secret 以及如何制作工作配置文件。
我想构建一个 Oauth v2 登录系统。我得到了一个 client_secret ,这是不应该被公开的。由于该项目是开源的,我应该如何向其他人隐藏 client_secret 。是否存在只有原始创建者才能访问这些敏感数据的系统?
此外,是否建议将 Auth 令牌保存在后端文件中并使用函数调用它?方法是否有任何安全问题?
我的项目在 JS、React 和 node 上,如果有帮助的话。
最简单的方法是创建一个配置文件,供您的项目在启动时读取。此配置文件不会包含在源代码存储库中,只是一个不包含 client_secret.
此外,添加一个自述文件,描述从何处以及如何获取 client_secret 以及如何制作工作配置文件。