Súgó és útmutatók ›
Fiók biztonság
› API tokenek biztonságos használata
API tokenek biztonságos használata
3 perc olvasás · Fiók biztonság
Az API tokenek biztonságos használata
3 perc olvasás
Az API token teljes hozzáférést ad a fiókjához a REST API-n keresztül. Az alábbi ajánlások csökkentik a kompromittálódás kockázatát.
A token = mint egy jelszó
- Soha ne tegyen tokent nyilvános repozitóriumokba (GitHub, GitLab)
- Ne ossza meg a tokent Discordon / Slacken / e-mailben debugoláskor
- Tárolja a tokent environment változóban vagy secret managerben (Vault, AWS SSM, Doppler)
- CI/CD-ben "masked secret"-et használjon - a logokban nem szabad plain textnek lennie
Rotáció
A következő eventek bármelyikénél azonnal érvénytelenítse a régi tokent és hozzon létre újat:
- Egy alkalmazott, akinek hozzáférése volt, távozik
- Az API audit logban váratlan kérést lát
- Legalább 90 naponta rotáció rutin higiéniaként
Egy token = egy cél
Ne tegye ugyanazt a tokent 5 különböző scriptbe. Hozzon létre:
plz_ci_deploy- csak GitHub Actions deploy-hozplz_terraform- csak Terraform / Pulumi-hozplz_dashboards- Grafana scrapinghez
Ha az egyik kiszivárog, csak azt érvényteleníti - a többi integráció érintetlen.
Storage legjobb gyakorlatok
| Környezet | Módszer |
|---|---|
| Lokális CLI | ~/.config/epulzio/token chmod 600-zal |
| Docker | Docker secret vagy --env-file (nem ENV a Dockerfile-ban) |
| Kubernetes | Secret objektum env / fájlként mountolva |
| GitHub Actions | Settings → Secrets → EPULZIO_TOKEN |
| Cloud Lambda / Functions | AWS SSM Parameter Store, Google Secret Manager |
Token vs Webhook signing secret
A bejövő webhookok ellenőrzéséhez használjon HMAC signing secret-et, ne API tokent. Részletek az API token generálása cikkben.