reactjs 如何在React中安全地集成Snipcart API密钥

igetnqfo  于 2023-04-20  发布在  React
关注(0)|答案(1)|浏览(122)

我想使用React和Snipcart创建一个在线商店。似乎这种方法的主要安全问题是存储我的Snipcart secret API密钥。我想知道存储此密钥的最安全方法。我刚刚发现在React中使用.env文件存储此密钥并不安全,因为它嵌入到构建中,任何人都可能查看此密钥。我想知道是否有人使用AWS Secrets Manager之类的东西存储API密钥?我一直在研究这种方法,并想知道我是否可以将我的密钥存储在Secrets Manager中,然后使用Lambda函数或其他东西调用它。如果我让我的React应用请求接收API密钥,那么使用开发工具中的网络选项卡的人可能会拦截此请求并查看我的API密钥吗?
我考虑的另一种方法是构建一个与snipcart单独通信的后端,我的React应用程序可以调用它,但我宁愿不这样做,因为这会增加相当多的成本。
这里有一个链接到basic installation的snipcart文档,似乎API密钥需要进入一个脚本标签-难道没有人看到这一点?
这是他们在文档中对authentication的引用。

tv6aics1

tv6aics11#

您将API公钥放在脚本中。其他人是否可以访问它并不重要。私钥是其他API请求的密钥,如果您要创建一个 Jmeter 板或其他方式来查看您的数据,而不是官方 Jmeter 板。这些密钥需要保密。

相关问题