开发者社区> 问答> 正文

能获取凭据原始值,那凭据的安全性如何保证?

能获取凭据原始值,那凭据的安全性如何保证?

展开
收起
邂逅青青 2024-08-15 16:18:44 28 0
1 条回答
写回答
取消 提交回答
  • 凭据一旦发生泄露,会给云上资源和用户业务带来很大的安全隐患。本文为您介绍常见的凭据安全使用方案。

    常见的凭据类型有AccessKey(简称:AK)、临时安全令牌STS Token,更多信息请参见凭据。

    常见的凭据泄露案例
    很多开发者直接将AccessKey(简称AK)硬编码在业务代码中,有代码仓库阅读权限的开发者均能获取到AK信息。开发者直接将业务代码上传到开源社区或代码托管服务,导致AK的进一步泄露。

    有些用户为了能够让自己的客户端直接调用到OpenAPI,将AK写到客户端代码中。攻击者通过反编译客户端代码,获取到AK信息。

    开发者的技术文档或者分享材料中包含AK信息。

    产品说明文档中包含的样例代码,包含AK信息。

    用户无权限控制的接口中返回了凭据信息。

    安全使用方案
    实现凭据安全使用方案的主要思路:避免研发阶段不必要的凭据传递与硬编码。

    避免使用阿里云账号AK
    由于阿里云账号(主账号)拥有资源的所有权限,其AK一旦泄露风险巨大,强烈不建议使用阿里云账号AK。

    避免在代码中硬编码凭据
    尽量避免在代码中直接编写凭据信息,可以将凭据信息写入到系统环境变量中,代码读入环境变量。以在环境变量中设置AK为例,您需要配置系统环境变

    image.png
    参考文档https://help.aliyun.com/zh/openapi/accesskey-security-solution?spm=a2c4g.11186623.0.0.13e74ea6MpQZiI

    2024-08-30 09:27:33
    赞同 展开评论 打赏
归属于问产品:
云安全中心(态势感知)
进入专区
问答排行榜
最热
最新

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载