5

最近、Heroku に Flask アプリをデプロイしました。既存の API の上に API を提供し、ユーザーからの元のサービスの機密 API キーを必要とします。アプリは実際にはいくつかのフォームにすぎず、その値はサーバー上の特定の URL に ajax で渡されます。派手なものはありません。機密情報をアプリに保存しないように対策を講じており、アプリ内のどこにもその痕跡を残したくありません。

のログを見るとheroku logs --source heroku、heroku ルーター プロセスは、機密情報を含むリクエストを含む、アプリのすべての HTTP リクエストを保存しています。

heroku提供された URL を保存しないように、プロセスのログ形式を指定する方法はありますか?

4

1 に答える 1

1

他のコメンテーターが言及したように、機密情報を URL に入れるのは悪い習慣です。これらは、サーバーへのラウンドトリップで多数のシステム (ルーター、プロキシ サーバー、キャッシュなど) によってキャッシュまたはログに記録される可能性があります。これを解決するには、いくつかの方法があります。

  • それらをAuthorizationヘッダーに入れます。これはおそらく、REST ベースの API で認証を処理する最も一般的な方法です。

  • それらを POST 本体に入れます。これは URL からそれを取得するために機能しますが、ログイン呼び出しでない限り、資格情報を何らかのリソース (これが REST API の場合) に POST していると言うのは意味的に少し奇妙です。

于 2013-02-03T02:53:44.643 に答える