我的应用程序中有一个特定用例,用于存储用户第 3 方 API 密钥以从这些第 3 方检索数据。它是一个 Web 应用程序,我使用 express 和 MongoDB 作为数据库。
是否有一种特定的方法可以最好地保护它(我需要在存储后多次访问实际密钥)。还是我根本不应该存储这些?
如果没有,您有什么解决方案来解决这个问题?
【问题讨论】:
标签: database mongodb security web-development-server database-security
如果您将密钥存储在 MongoDB 中,这可能是 MongoDB 4.2 中引入的 Client-Side Field Level Encryption 的一个很好的用例。
从页面:
应用程序可以在通过网络将数据传输到服务器之前加密文档中的字段。只有有权访问正确加密密钥的应用程序才能解密和读取受保护的数据。删除加密密钥会使使用该密钥加密的所有数据永久不可读。
有关示例用例,请参阅 Client-Side Field Level Encryption Guide。
请注意,字段级加密的一些更好的功能(例如字段的自动加密,以便驱动程序可以透明地使用加密字段)是 MongoDB 企业版功能而不是社区版功能。但是,MongoDB Atlas 使用企业版作为标准。
【讨论】: