Programim dhe zhvillim, javascript, python, php, html

Si të vendosni në mënyrë të sigurt fjalëkalimin e bazës së të dhënave në Strapi?

Korniza Strapi (me sa kuptoj unë) kërkon që fjalëkalimi i bazës së të dhënave të jepet në fillim. Zakonisht, fjalëkalimi specifikohet në skedarin database.js, si kjo:

module.exports = ({ env }) => ({
  defaultConnection: 'default',
  connections: {
    default: {
      connector: 'bookshelf',
      settings: {
        client: 'postgres',
        host: '/cloudsql/myDatabaseInstanceName',
        database: 'databaseName',
        username: 'databaseUsername',
        password: 'databasePassword',
      },
    },
  },
});

Kjo sigurisht nuk është shumë e sigurt, pasi skedari database.js zakonisht angazhohet në repo.

Prandaj, disa njerëz injektojnë fjalëkalimin në skedarin database.js, në vend të kësaj e ruajnë atë si një variabël mjedisi:

module.exports = ({ env }) => ({
  defaultConnection: 'default',
  connections: {
    default: {
      connector: 'bookshelf',
      settings: {
        client: 'postgres',
        host: `/cloudsql/${env('INSTANCE_CONNECTION_NAME')}`,
        database: env('DATABASE_NAME'),
        username: env('DATABASE_USERNAME'),
        password: env('DATABASE_PASSWORD'),
      },
    },
  },
});

Megjithatë, kjo nuk është gjithashtu shumë e sigurt. Në shumë mjedise të kohës së ekzekutimit (përfshirë Google App Engine, të cilin po përdor) fjalëkalimet e mjedisit mund të shihen, në tekst të thjeshtë, nga çdo përdorues i projektit.

Në mënyrë ideale, do të doja të ruaja fjalëkalimin e bazës së të dhënave në një kasafortë sekrete (Unë jam duke përdorur Google Secret Manager) dhe në një farë mënyre të jap fjalëkalimin nga kasaforta në skedarin database.js në fillim. Por nuk e kuptoj si ta zbatoj atë? A është madje e mundur të hyni në një kasafortë sekrete nga database.js? Ose, si tjetër mund të injektoj fjalëkalimin tim të bazës së të dhënave në Strapi?

Faleminderit!

node.js strapi security google-app-engine
13.05.2021

Përgjigjet:


1

Përdor dotenv dhe dotenv-defaults.

Për vlerat e paracaktuara dhe jokritike përdorni skedarin .env.defaults dhe vendoseni këtë skedar në VCS tuaj. Kjo do të sigurojë një konfigurim mjedisi me një klikim për zhvilluesit e tjerë.

Nëse anëtarët e ekipit tuaj duan të anashkalojnë vlerat, ata duhet të përdorin skedarin .env të gitigned në mjediset e tyre të zhvillimit lokal. Kjo do të parandalojë kryerjet e gabuara.

Në serverin tuaj, përcaktoni variablat e mjedisit nga jashtë dhe përdorni ato pa i futur ato në kodin tuaj. Kjo do të ofrojë siguri për mjedisin tuaj të prodhimit të drejtpërdrejtë.

Ashtu si në dokumentet e këtyre paketave, ju mund të përdorni çdo vlerë nga këto skedarë ose variabla mjedisorë si të tillë

....,
password: process.env.MY_PASSWORD,
....
19.05.2021
  • Faleminderit për përgjigjen tuaj! Kjo është padyshim një qasje, por (siç e përmenda në mënyrë të paqartë në pyetjen time) shpresoja të gjeja një zgjidhje të sigurt sesa ruajtja e të dhënave të ndjeshme në variablat e mjedisit prod, sepse variablat e mjedisit mund të shihen nga të gjithë ata që kanë akses në projektin e platformës së resë kompjuterike të Google. 19.05.2021
  • Ju duhet të përdorni Sekret Menaxher i cili kalon fjalëkalimet e ruajtura të enkriptuara në mjedisin e aplikacionit tuaj. Pra, në fund, aplikacioni juaj lexon sekrete nga ndryshoret mjedisore, por ato variabla mjedisore vijnë nga një vend i sigurt. cloud.google.com/run/docs/configuring/secrets 19.05.2021
  • Kështu që unë do të doja të përdorja Secret Manager, por thirrja e API-së për të marrë një sekret është asinkronike dhe nuk mund të kuptoj se si të thërras një funksion asinkronik përpara se të eksportoj objektin e konfigurimit. Ndoshta mund të përdor një pritje të nivelit të lartë? Por ato nuk funksionojnë në skedarët JS, vetëm në modulet ES... Unë nuk kam shumë përvojë me JS; është e paqartë për mua si ta përdor Menaxherin Sekret. 20.05.2021

    • 2
    • Komenti @raxetul është mënyra më e lehtë. Një sekret i Google mund të aksesohet si variabël mjedisor nga kodi. Për Google - është e zakonshme, por duhet shmangur kur është e mundur këtu
    • Për të marrë sekretin me kod asinkronik përpara konfigurimit fillestar të db, duhet të përdorni Funksioni i nisjes së Strapi.

    Funksioni bootstrap thirret në çdo fillim të serverit. Mund ta përdorni për të shtuar një logjikë specifike në këtë moment të ciklit jetësor të serverit tuaj.

    • Çfarëdo që të zgjidhni - mbani mend se kushdo që mund të ndryshojë kodin - ka qasje në fjalëkalimin, pavarësisht sa i sigurt e ruani atë. Një zhvillues mashtrues mund të shtojë një rresht si console.log(env('HIGHLY_ENCRYPTED_PASSWORD')) dhe të lexojë daljen.
    25.05.2021
  • bootstrap.js duhet të kthejë një lloj objekti JS, apo jo? A është objekti në të njëjtin format si objekti i eksportuar nga database.js? 25.05.2021
  • Nuk ka nevojë të kthejë asgjë, mund të kthejë një premtim që ruan sekretin diku ku mund të referoheni nga database.js. 26.05.2021
  • Prisni, si mund ta ruaj sekretin diku ku mund të referoheni nga database.js? Unë u përpoqa të përdor vetëm një ndryshore globale, por me sa duket ato nuk funksionojnë ashtu siç mendova. Pastaj provova të eksportoja një variabël global, por kjo nuk lejohet. 29.05.2021
    • Materiale të reja
    Masterclass Coroutines: Kapitulli-3: Anulimi i korutinave dhe trajtimi i përjashtimeve.
    Mirë se vini në udhëzuesin gjithëpërfshirës mbi Kotlin Coroutines! Në këtë seri artikujsh, unë do t'ju çoj në një udhëtim magjepsës, duke filluar nga bazat dhe gradualisht duke u thelluar në..
    Faketojeni derisa ta arrini me të dhënat false
    A e gjeni ndonjëherë veten duke ndërtuar një aplikacion të ri dhe keni nevojë për të dhëna testimi që duken dhe duken më realiste ose një grup i madh të dhënash për performancën e ngarkesës...
    Si të përdorni kërkesën API në Python
    Kërkesë API në GitHub për të marrë depot e përdoruesve duke përdorur Python. Në këtë artikull, unë shpjegoj procesin hap pas hapi për të trajtuar një kërkesë API për të marrë të dhëna nga..
    Një udhëzues hap pas hapi për të zotëruar React
    Në këtë artikull, do të mësoni se si të krijoni aplikacionin React, do të mësoni se si funksionon React dhe konceptet thelbësore që duhet të dini për të ndërtuar aplikacione React. Learning..
    AI dhe Psikologjia — Pjesa 2
    Në pjesën 2 të serisë sonë të AI dhe Psikologji ne diskutojmë se si makineritë mbledhin dhe përpunojnë të dhëna për të mësuar emocione dhe ndjenja të ndryshme në mendjen e njeriut, duke ndihmuar..
    Esencialet e punës ditore të kodit tim VS
    Shtesat e mia të preferuara - Git Graph 💹 Kjo shtesë është vërtet e mahnitshme, e përdor përpara se të filloj të punoj për të kontrolluar dy herë ndryshimet dhe degët më të fundit, mund të..
    Pse Python? Zbulimi i fuqisë së gjithanshme të një gjiganti programues
    Në peizazhin gjithnjë në zhvillim të gjuhëve të programimit, Python është shfaqur si një forcë dominuese. Rritja e tij meteorike nuk është rastësi. Joshja e Python qëndron në thjeshtësinë,..