我正在使用Httpful来调用使用基本身份验证标头的API。
以下是我的 GET 请求的设置方式:
<?php
include('httpful.phar');
$uri = "https://example.com";
$response = HttpfulRequest::get($uri)
->addHeader('Authorization', 'Basic KEY')
->send();
echo $response;
?>
这工作正常,我能够在我的 PHP 页面上显示响应数据。
但是,这是使用基本身份验证添加标头的最安全方法吗?我应该将身份验证密钥放入单独的文件还是更安全的文件?
我应该将身份验证密钥放入单独的文件中吗
可能。作为一般规则,切勿将身份验证凭据提交到源存储库。因此,如果此文件受源代码控制,我会提取硬编码值并将其替换为变量。
如何设置该变量取决于您的环境。通常,从 JSON、INI 或 YML 配置文件中读取就足够了。只需确保将 .gitignore (或等效项(设置为从存储库中排除该配置文件,并确保该文件位于 Web 服务器的文档根目录之外,以便无法直接读取。
请注意,如果您已经提交了密钥,则需要更改它,因为它的当前值将永远存在于您的存储库历史记录中。