node.js 服务端代码安全问题
原问题地址在这里:node-js-server-code-security-issue
大概意思就是:
我的服务器需要的一些敏感信息都会加密存储到google drive上,这样不至于服务器被黑后敏感信息泄露。
但是google drive的话client_id和client_secret什么的都写在配置文件里面,服务器被黑了黑客一花点时间读代码就可以自己去从google drive上取这些敏感信息了。
所以我初步思路是在配置文件中使用对称加密对这些配置信息进行加密存储,然后程序启动时在环境变量中设置密钥,这样密钥就不会被暴露了。
这个方法总感觉不靠谱,有点野路子,不知道有没有一些标准的解决方案。