【发布时间】:2019-04-24 05:00:50
【问题描述】:
我有一个使用 AWS Lambda 和 API Gateway(受 IAM 保护)作为后端的 Web 应用程序,前端是使用 React 构建的。我试图找出最好的方法是将 AWS 密钥排除在生产 Javascript 代码之外,到目前为止,我找不到比仅仅混淆密钥更好的方法,但这并不能真正解决任何问题。
到目前为止,在开发过程中,我正在使用 apigClient 并对访问密钥和密钥进行硬编码。
任何帮助将不胜感激。
谢谢。
【问题讨论】:
-
也许创建一个包含您的 aws 信用的 json 文件?然后在你的代码中,你导入文件并得到你想要的
-
我希望你的意思是在 backend 代码中,这绝对不应该在 React 应用程序中。当您使用 AMS 时,您可以查看 KMS 以帮助管理这些机密。
-
我们也有类似的头痛。最后我们使用了 Cognito。如果您的应用程序通过 Cognito 进行身份验证,AWS 可以为其提供对您决定需要的任何内容的联合访问权限。当然,那么您会遇到将 Cognito 用户名和密码获取到您的应用程序的问题。但是,如果它是用户订阅的服务,那么我想在注册时可以通过电子邮件处理。当该用户的访问需求结束时,删除其 Cognito 用户。任何地方都不需要任何 AWS 密钥。不知道这是否有帮助,或者我的范围很广?干杯,亚当。
标签: javascript reactjs aws-lambda aws-api-gateway secret-key